Информационная Безопасность. Аудит Безопасности


Нажмите CTRL-D чтобы добавить нас в закладки
HackZone.RU - Баг в Safari приводит к утечке данных
Войти / Регистрация / Участники
Определение даты выпуска iPhone по серийному номеру
-
Поиск по сайту
Форумы



Реклама

Поиск ТОП Добавить публикацию

Баг в Safari приводит к утечке данных

18.01.2022

Ошибка в составе API IndexedDB в движке Safari WebKit может использоваться вредоносными сайтами для отслеживания онлайн-активности пользователей и раскрытия их личности.

Уязвимость получила название IndexedDB Leaks и была обнаружена компанией FingerprintJS, которая занимается разработкой ПО для защиты от мошенничества. Исследователи уведомили разработчиков Apple о проблеме еще в ноябре 2021 года.

IndexedDB —широко используемый браузерный API, представляющий собой универсальную систему для хранения на стороне клиента (не имеющую ограничений по емкости). Обычно API применяется для кэширования данных веб-приложений для просмотра в автономном режиме. Кроме того, для хранения информации его могут использовать модули, инструменты разработки и расширения.

Чтобы предотвратить потенциальные утечки данных через XSS-атаки, IndexedDB придерживается Same Origin Policy, контролируя, какие ресурсы могут получить доступ к определенным частям данных. Однако аналитики FingerprintJS обнаружили, что IndexedDB не следует SOP в Safari 15 на macOS, что приводит к раскрытию конфиденциальных данных.

Также багу подвержены браузеры, использующие тот же движок в последних версиях iOS и iPadOS. Кроме того, корень проблемы кроется в WebKit, а значит, любой браузер, использующий этот движок (например, Brave или Chrome для iOS), тоже уязвим. Чтобы проверить свой браузер на предмет утечек, можно посетить специальную страницу, созданную аналитиками FingerprintJS.

Эксперты объясняют, что баг позволяет любому сайту узнать имена баз данных, созданных в рамках одного сеанса. Поскольку имена БД уникальны и зависят от конкретного сайта, по сути, благ провоцирует утечку истории браузинга. Хуже того, некоторые имена БД содержат пользовательские ID, поэтому утечка может привести и к идентификации пользователя.

По словам аналитиков, для идентификации человека с помощью этой уязвимости нужно войти в систему и посетить популярные сайты, такие как YouTube и Facebook, или такие сервисы, как Google Calendar и Google Keep. При входе на эти ресурсы создается новая база данных IndexedDB, к имени которой добавляется идентификатор пользователя в Google. При использовании нескольких учетных записей Google для каждой из них создаются отдельные БД.

«Мы проверили домашние страницы 1000 самых посещаемых веб-сайтов по версии Alexa, чтобы понять, сколько сайтов используют IndexedDB и могут быть однозначно идентифицированы по базам данных, с которыми взаимодействуют. Результаты показывают, что более 30 сайтов взаимодействуют с проиндексированными базами данных непосредственно на своей домашней странице без какого-либо дополнительного взаимодействия с пользователем и без необходимости аутентификации», — говорят эксперты.

Хотя Apple сообщили об уязвимости еще 28 ноября 2021 года, пока ошибка все еще не устранена. Один из способов временно смягчить эту проблему — полная блокировка JavaScript, однако это может вызвать проблемы в работе многих сайтов.

При копировании материалов ссылка на HackZone.RU обязательна

Добавить страницу в закладки

 Детали
Категория: Уязвимости
Опубликовал: shellmann
Просмотров: 1899
Проголосовало через SMS: 0
  Разместить у себя на сайте
Прямая ссылка
HTML
BBCode ссылка
BBCode ссылка с текстом

 Комментарии (оставить свой комментарий можно здесь)
Только зарегистрированные пользователи могут оставлять комментарии

Зарегистрироваться *** Авторизоваться


 Последние новости и статьи  Последние сообщения с форумов
  • В darknet сливают данные 100 000 российских банковских карт
  • Вирус Escobar ворует коды двухфакторной аутентификации из Google ...
  • DeadBolt использует уязвимость, исправленную в декабре
  • Почти миллион WordPress-сайтов в опасности из-за уязвимости в поп...
  • Шифровальщик DeadBolt взломал 3600 NAS. Qnap устанавливает обновл...
  • Банковский троян Chaes устанавливает вредоносные расширения для C...
  • Взломана платформа Qubit Finance, хакеры похитили 80 млн долларов
  • Арест участников REvil взволновал других преступников
  • Обнаружена malware MoonBounce, внедряющаяся в UEFI
  • Администратор кардерского форума UniCC и участник хак-группы The ...

    Все новости... Все статьи... Прислать новость RSS
  • Разное / Предложения работы » Взлом авторизации CRM
  • Разное / Предложения работы » взломать сайт и выграть электронную жеребьёвку
  • Разное / Предложения работы » разблокировать сбер аккаунт
  • Разное / Болталка » Re: Форум жив?
  • Разное / Болталка » Форум жив?
  • Разное / Болталка » С Новым 2022 Годом!
  • Взлом и безопасность / Программы » Re: Hasp ключ для ABC-4
  • Портал / Отзывы и предложения » Предлагаем партнерство вашему форуму.
  • Разное / Предложения работы » взлом почты
  • Разное / Куплю, приму в дар » Покупка аккаунтов Uphold

    Все форумы... RSS


  • Разместить рекламу
    © HackZone Ltd. 1996-2020. Все права зарегистрированы.
    Перепечатка материалов без согласования и указания источника будет преследоваться по Закону

    О проекте | История проекта | Размещение рекламы | Обратная связь | Правила поведения на портале
    contador de visitas счетчик посещений

    #{title}

    #{text}

    x

    #{title}

    #{text}