Обновление iOS 15.3 от Apple исправляет критическую ошибку безопасности Safari

Apple только что выпустила iOS 15.3, и хотя это последнее обновление не добавляет каких-либо существенных новых функций, оно устраняет по крайней мере один критический недостаток безопасности. Ранее в этом месяце инженер-программист Мартин Баджаник из FingerprintJS нашел серьезную уязвимость в Safari 15, браузере, включенном в iOS 15 и iPadOS 15, который может привести к утечке информации об истории просмотров и даже учетных данных из онлайн-сервисов, которые использует человек, таких как Google, YouTube, Amazon и сайтов, использующих WordPress.

Как объясняет Баяник, многие веб-сайты используют API, называемый ИндекседБД запросить, чтобы браузеры, такие как Safari и Chrome, сохраняли информацию в локальной базе данных на устройстве человека. При нормальных обстоятельствах данный веб-сайт должен иметь возможность запрашивать информацию только о созданных им базах данных — любые другие должны быть для него невидимы.

К сожалению, браузер Safari в iOS 15 не совсем соблюдал эти правила. Хотя он не выдавал никакой информации, хранящейся в этих базах данных, он с радостью предоставлял полный список всех локальных баз данных любому запрашиваемому веб-сайту.

Хотя на первый взгляд это может показаться относительно безобидным, проблема заключается в том, что многие службы используют конфиденциальную информацию для этих имен баз данных. Например, Google использует внутренний уникальный и индивидуальный идентификатор, который позволяет любому, кто вошел в свою учетную запись Google, быть «уникально и точно идентифицирован». Баянаик отмечает, что этот идентификатор пользователя Google можно даже передать в API Google для получения общедоступной информации о владельце учетной записи, такой как его имя и изображение профиля.

Что еще хуже, это не только позволяет вредоносному веб-сайту узнать личность пользователя, но также может быть использовано для получения списка нескольких учетных записей, принадлежащих одному и тому же человеку. Это может привести к серьезному нарушению конфиденциальности в ситуациях, когда кто-то использует анонимную учетную запись, которая никак не связана с его личностью. Хакер, использующий эту уязвимость, может установить соединение, обнаружив, что у одного и того же человека есть информация для обеих учетных записей, хранящихся в его браузере.

Недостаток также, по-видимому, легко использовать. Баджанаик объясняет, что «вкладка или окно, которое работает в фоновом режиме и постоянно запрашивает у IndexedDB API доступные базы данных, может узнать, какие другие веб-сайты посещает пользователь в режиме реального времени», что позволяет хакерам собирать данные о целях, просто внедряя вредоносный код в с виду легитимный сайт.

Исправления безопасности в iOS 15.3

По сравнению с захватывающими функциями, появившимися в последних двух основных выпусках iOS, обновление iOS 15.3 на этой неделе может показаться довольно скучным, но его не следует воспринимать легкомысленно. На самом деле еще важнее как можно скорее обновиться до iOS 15.3.

Мало того, что iOS 15.3 исправляет эту особенно неприятную дыру в безопасности в Safari, но, согласно Примечания к выпуску Appleесть девять других важных исправлений безопасности, в том числе одно, которое, как отмечает Apple, «могло активно использоваться».

Другие уязвимости безопасности, устраненные в iOS 15.3, включают ошибку iCloud, которая может позволить приложениям обойти систему безопасности и получить доступ к файлам пользователя, а также несколько других сценариев, в которых вредоносные приложения могут найти способы получить привилегии суперпользователя или произвольно выполнить код, чтобы делать то, чего они не должны. разрешено делать.

Рекомендации редакции