Уязвимость связана с особенностями работы механизма IndexedDB и некорректных ограничениях. Его основная функция заключается в сохранении баз данных сайтов на устройстве пользователя, а также ограничении взаимодействия данных одного источника с ресурсами из других источников.
Таким образом домен должен взаимодействовать с теми данными, которые были созданы им самим. «Мы обсуждаем программную ошибку, появившуюся в реализации API IndexedDB в Safari 15, которая позволяет любому веб-сайту отслеживать вашу активность в Интернете и даже раскрывать вашу личность», — говорится в исследовании.
Специалисты FingerprintJS установили, что механизм IndexedDB в Safari 15 работает некорректно. В частности, говорится, что при взаимодействии сайта с хранящейся на устройстве пользователя базой данных в рамках активной сессии создаются пустые дубли баз данных с аналогичными именами.
Читать на newizv.ru