Уязвимость связана со стандартом IndexedDB — интерфейсом прикладного программирования (API), с помощью которого сайты сохраняют данные на устройствах пользователей. Если интерфейс работает исправно, то доступ к базе данных, которую создает сайт, может получить только он.

Из-за уязвимости создается пустая база данных с тем же именем во всех активных вкладках браузера каждый раз, когда сайт взаимодействует с данными. Так становится понятно, какие еще сайты посещает пользователь.

Почему это опасно:

Некоторые сервисы, например, YouTube и «Календарь Google», включают в базы данных уникальные идентификаторы пользователей. С их помощью можно получить фотографию владельца аккаунта, а также его имя, фамилию и ряд других данных. Уязвимость распространяется и на режим приватного просмотра в Safari.

Специалисты сообщили Apple об ошибке еще в ноябре 2021 года, но компания по-прежнему не устранила неисправность.

Следить за событиями удобно в нашем новостном телеграм-канале. Присоединяйтесь