Пользователи устройств Apple, судя по всему, на данный момент являются легко-уязвимыми из-за серьёзной бреши, присутствующей в фирменном браузере компании. И если же ссылаться на сообщение на этот счёт, опубликованное авторитетным изданием 9to5Mac, то FingerprintJS сумел раскрыть эксплойт, который в свою очередь позволяет злоумышленникам получать вашу недавнюю историю браузера и даже некоторую информацию об учётной записи Google из Safari 15 на всех поддерживаемых платформах, а также из сторонних браузеров, которые были установлены на устройства, работающие под управлением iOS 15 и iPadOS 15.
И если углубляться в детали, то фреймворк IndexedDB, используемый для хранения данных во многих браузерах, в данном случае нарушает политику «того же источника», которая не позволяет документам и сценариям из одного места, к примеру, домена или протокола взаимодействовать с контентом из другого, позволяя тем самым различным веб-сайтам с соответствующим кодом выводить информацию, хранящуюся у Google, из аккаунтов пользователей, в том числе их истории из открытых вкладок и окон. Данная «дыра» компрометирует только лишь имена баз данных, а не сам контент.
Но даже в таком случае злоумышленнику будет более чем достаточно того, чтобы он получил ваше имя пользователя Google, нашёл изображение вашего профиля, в результате чего он сможет «узнать о вас больше». Историю также можно использовать для составления элементарного профиля сайтов, которые вам нравятся. По словам FingerprintJS, избавиться от риска быть «атакованным» данным эксплойтом нельзя даже если использовать приватный режим браузера.
Но в то же время отметить следует и то, что, согласно заявлению FingerprintJS, компания сообщила о проблеме аж 28 ноября, и что Apple, несмотря на уже большой отрезок прошедшего времени, до сих пор не устранила данную уязвимость посредством хотя-бы банальных обновлений настроек безопасности, соблюдающих политику того же происхождения. Так что до того самого момента, как технический гигант всё же исправит уязвимость, единственным решением может быть либо использование стороннего браузера на Mac, либо блокировка всего JavaScript.
