Блог FingerprintJS рассказал о программной уязвимости в Safari 15, которая раскрывает веб-сайтам активность пользователя и данные Google-аккаунта.

Уязвимость основана на браузерном API IndexedDB, использующемся для хранения большого объёма данных. Суть API заключается в создании баз данных для каждого сайта. В iOS 15, iPadOS 15 и macOS подобные базы данных создаются не для конкретной вкладки, а во всех фреймах и открытых окнах браузеров.

Это позволяет одному сайту узнать, какие другие ресурсы посещал пользователь. Кроме того, в названиях некоторых баз данных используется идентификатор пользователя, что позволяет установить его личность. Например, к таким сайтам относятся сервисы Google: YouTube, «Календарь», Keep и другие.

IndexedDB работает в фоне, поэтому никаких действий от пользователя не требуется — браузер сам раскроет все данные. По данным FingerprintJS данной уязвимости подвержены более 30 сайтов из 1000 самых посещаемых ресурсов Alexa. «Частный доступ» также не спасает от уязвимости, а кроме Safari ей подвержены и другие браузеры на основе WebKit (например, Google Chrome для iOS).

Каждый пользователь может сам проверить, какие данные могут получить сайты с помощью данной уязвимости. Для этого был создан сайт SafariLeaks, который отобразит последнюю активность в интернете и даже уникальный Google User ID с фотографией. Проверить доступ к данным Google-аккаунта на iOS редакции не удалось.