У Safari 15 на macOS та у всіх версіях браузера на iOS та iPadOS 15 API IndexedDB порушує політику єдиного джерела. IndexedDB – це API-інтерфейс браузера для зберігання на стороні клієнта, призначений для зберігання значних обсягів даних. Він підтримується у всіх основних браузерах і часто використовується. Оскільки IndexedDB – це низькорівневий API, багато розробників вважають за краще використовувати оболонки, які абстрагують більшість технічних аспектів і надають більш простий у використанні та зручний для розробників API.
Як діє уразливість в Safari 15?
Щоразу, коли вебсайт взаємодіє з базою даних, створюється нова (порожня) база даних з тим самим ім’ям у всіх інших активних кадрах, вкладках та вікнах в рамках одного сеансу браузера. Вікна та вкладки зазвичай використовують один і той самий сеанс. Це якщо ви не переключитеся на інший профіль, наприклад, у Chrome, або не відкриєте приватне вікно.
- Уразливість у маршрутизаторах MikroTik загрожує всьому інтернету
- Уразливість в металодетекторах дозволяла віддалено ними керувати
Факт, що імена баз даних просочуються з різних джерел, є очевидним порушенням конфіденційності. Він дозволяє довільним вебсайтам дізнаватися, які сайти відвідує користувач у різних вкладках або вікнах. Це можливо, оскільки імена баз даних зазвичай є унікальними і залежать від вебсайту. А в деяких випадках вебсайти використовують унікальні ідентифікатори користувача в іменах баз даних. Це означає, що автентифіковані користувачі можуть бути точно ідентифіковані. Як приклад, YouTube, Google Календар або Google Keep. Всі ці сайти створюють бази даних, які місстять автентифікований ідентифікатор користувача Google. І якщо користувач увійшов до декількох облікових записів, бази даних створюються для всіх цих облікових записів.
Це не тільки означає, що ненадійні або шкідливі вебсайти можуть дізнатися особистість користувача, але також дозволяє зв’язати разом кілька окремих облікових записів, що використовуються одним і тим самим користувачем.
Зверніть увагу, що ці витоки не вимагають будь-яких конкретних дій користувача. Вкладка або вікно, що працює у фоновому режимі і постійно запитує доступні бази даних IndexedDB API, може дізнатися, які інші вебсайти відвідує користувач у режимі реального часу. Крім того, вебсайти можуть відкривати будь-який сайт в iframe або спливному вікні, щоб викликати витік на основі IndexedDB для цього конкретного сайту.
Єдиний варіант захисту – це оновлення браузера Safari 15 після випуску оновлення Apple.