Инженеры Apple устранили уязвимость в браузерном движке WebKit, которая позволяла сайтам отслеживать историю посещений пользователя и определять данные его аккаунта в Google.

При посещении сайта браузер создаёт на устройстве базу данных IndexedDB для кэширования. Уязвимость позволяет любому веб-приложению узнать имя хранилища. Так как для каждого сайта имя базы уникально, несложно вычислить, какие ресурсы посещал пользователь. Сервисы Google хранят в названии БД ещё и уникальный идентификатор учётной записи Google — он тоже раскрывается.

Багу подвержены Safari на macOS и любые браузеры для iOS и iPadOS — они используют WebKit.

Специалисты отмечают, что исправление ошибки в кодовой базе не устраняет проблему само по себе: Apple нужно выпустить обновления операционных систем.