Apple усунула вразливість, яка зачіпала всі браузери на iOS 15 через помилку в движку WebKit. Вона дозволяла зловмисникам отримати доступ до історії відвідувань користувача та даних Google-акаунту.
Про проблему 17 січня цього року повідомили дослідники з кібербезпеки з FingerprintJ. Вона була пов’язана зі стандартом IndexedDB для зберігання баз даних на пристроях. На iOS 15 вони створювалися не для кожного сайту окремо, а генерувалися у всіх відкритих вкладках навіть у режимі інкогніто. Це дозволяло відстежити, які сторінки відвідували користувачі.
Сервіси Google заносять у назву бази даних унікальний ідентифікатор користувача, що дає змогу встановити його особистість. За допомогою нього можна отримати прізвище, ім’я та аватарку облікового запису. Помилка була усунена в iOS 15.3, яка повинна вийти наступного тижня.
Крім того, iOS 15, iPadOS 15 і watchOS 8 виправили експлойт, який міг дозволити сторонньому додатку обійти налаштування конфіденційності. Apple не надала жодної додаткової інформації про специфіку вразливості та не повідомила, чи використовувалася вона кимось у реальності.