Баг в Safari допускает межсайтовое отслеживание пользователей iPhone

Олег Иванов 17 Января 2022 - 09:28

Домашние пользователи

...

Apple пока не смогла устранить баг, затрагивающий имплементацию API IndexedDB в браузере Safari. В результате владельцы вредоносных сайтов могут отслеживать онлайн-активность пользователей и даже в определённых случаях раскрывать их личность.

Уязвимость получила имя IndexedDB Leaks, первыми её обнаружили специалисты компании FingerprintJS. 28 ноября 2021 года исследователи уведомили корпорацию из Купертино о проблеме, однако она по сей день актуальна.

IndexedDB представляет собой низкоуровневый JavaScript-API, которым оснащены современные веб-браузеры для управления БД NoSQL. Как пишет в документации Mozilla, IndexedDB следует той же политике, что и другие веб-хранилища: вы сможете получить доступ к данным в пределах одного домена, но не сможете добраться до информации из других доменов.

По-другому это называют принципом изоляции, чтобы важные пользовательские данные не просочились от одного домена другому. Он помогает избавиться от вектора атаки, когда вредоносный сайт запускает JavaScript-код, пытающийся считать информацию с другого домена.

Как раз здесь эксперт и нашёл ошибку в способе обработки IndexedDB в Safari. Причём проблема затрагивает как мобильную версию браузера (iOS, iPadOS), так и десктопную (macOS). Как объяснил Мартин Бажаник, при каждом взаимодействии веб-ресурса с базой данных во всех других активных фреймах, а также во вкладках и окнах (в пределах одной сессии браузера) создаётся новая (пустая) БД с тем же именем.

В результате администраторы злонамеренных сайтов могут не только узнать, что пользователь делает на других ресурсах, но и «опознать» его по аккаунту в сервисах Google Календарь и на YouTube. Хуже того, эта проблема затрагивает и режим частного доступа в Safari 15, так что Apple пора бы задуматься о выпуске патча.

Следующая главная новость »

ИБ без ручного режима: как автоматизировать защиту в 2026?
Регистрируйтесь на эфир!

Яков Шпунт 27 Мая 2026 - 13:25

Соответствие законодательству РФ Общее Соответствие требованиям регуляторов

Минцифры запретит региональным властям ограничивать установку систем связи

Минцифры подготовило законопроект, который запрещает регионам и муниципалитетам вводить собственные ограничения на установку базовых станций и антенно-мачтовых сооружений. По оценке ведомства, такие решения местных властей часто мешают развитию инфраструктуры связи.

Документ появился на портале проектов нормативных актов. Как следует из пояснительной записки, поводом для его разработки стало массовое появление региональных нормативных актов, устанавливающих ограничения на размещение объектов связи, включая базовые станции и антенно-мачтовые сооружения.

Такие нормы уже приняты в Ленинградской, Московской, Пензенской и Тюменской областях, а также в Пермском крае.

«Указанные ограничения создают препятствия для размещения новых сооружений связи, а в ряде случаев являются основанием для демонтажа уже функционирующих объектов связи, что может повлечь прекращение оказания услуг подвижной радиотелефонной связи на соответствующих территориях», — говорится в документе.

Эксперты, опрошенные «Российской газетой», назвали такие ограничения одним из наиболее серьёзных препятствий для развития отрасли связи. По их словам, в плотной жилой застройке соблюдение подобных требований может сделать установку новых объектов инфраструктуры практически невозможной, что неизбежно снижает качество связи. Инициатива Минцифры должна унифицировать требования к размещению таких объектов.

«Вместо разъяснительной работы и взаимодействия с гражданами местные администрации вводили жёсткие ограничения на размещение базовых станций. В результате соблюдение этих ограничений затрудняло или делало невозможным развитие сетей связи с обеспечением качественного покрытия и при разумном уровне инвестиций», — считает аналитик Алексей Бойко.

«Ограничения, которые вводятся на уровне муниципальных образований и субъектов РФ, могут стать серьёзным барьером на пути развития телеком-инфраструктуры в стране как основы предоставления качественных услуг связи для удовлетворения потребностей граждан, бизнеса и государства и не позволят достичь целей, которые установлены в программных документах, в том числе в Стратегии развития отрасли связи РФ до 2035 года», — прокомментировали изданию свою законодательную инициативу в Минцифры.

ИБ без ручного режима: как автоматизировать защиту в 2026?
Регистрируйтесь на эфир!