Firma FingerprintJS opublikowała na swoim oficjalnym blogu informację o wykryciu poważnego błędu w zabezpieczeniach silnika WebKit, na którym oparte jest Safari i inne przeglądarki internetowe dla iOS. Strony internetowe mogą dzięki niemu uzyskiwać informacje o odwiedzających je użytkownikach, do których normalnie nie powinny mieć dostępu.

Według FingerprintJS źródłem problemu jest błąd w implementacji IndexedDB - API Javascript pozwalającego stronom internetowym tworzyć i przechowywać bazy danych na urządzeniu użytkownika. Błąd w WebKit sprawia, że za każdym razem gdy strona korzystająca z tego rozwiązania wchodzi w interakcję ze swoją bazą danych, wszystkie inne korzystające z niego otwarte strony internetowe zostają o tym powiadomione. W ten sposób mogą one sprawdzić, jakie strony aktualnie przegląda użytkownik. Co więcej, jako iż niektóre serwisy (w tym m.in. Google), zapisują identyfikator użytkownika w nazwach baz danych, możliwe jest przechwycenie niektórych informacji na jego temat. Z IndexedDB korzystają m.in. Twitter, Youtube, Google, Instagram, Alibaba, Slack czy Dropbox.

FingerprintJS przygotowało pokazową stronę safarileaks.com, demonstrującą w praktyce działanie tej luki w zabezpieczeniach. Podatne na nią są wszystkie przeglądarki dla iOS/iPadOS 15 oraz Safari 15 dla macOS. Błąd nie jest obecny w starszych wersjach.

Źródło: FingerprintJS