Исследователи Google обнаружили несколько уязвимостей безопасности в веб-браузере Safari от Apple, которые позволили отслеживать действия пользователей в интернете, несмотря на наличие функции Intelligent Tracking Prevention от Apple.

Google планирует опубликовать подробности об уязвимостях безопасности в ближайшем будущем, а предварительный просмотр открытия Google был предоставлен изданию Financial Times, которое поделилось информацией об уязвимостях этим утром.

Уязвимости безопасности были впервые обнаружены Google летом 2019 года и были переданы Apple в августе. Было выявлено пять типов потенциальных атак, которые могли позволить третьим лицам получить «конфиденциальную частную информацию о привычках пользователя в Интернете».

Исследователи Google заявляют, что Safari оставлял персональные данные без защиты, поскольку список Intelligent Tracking Prevention «неявно сохраняет информацию о посещенных пользователем веб-сайтах». Злоумышленники могли использовать эти уязвимости для создания «постоянного цифрового отпечатка», который мог бы отслеживать пользователя в сети, или для просмотра того, что конкретные пользователи искали на страницах поисковых систем.

Intelligent Tracking Prevention, которую Apple начала внедрять в 2017 году, является функцией, ориентированной на конфиденциальность, предназначенной для затруднения отслеживания пользователей в Интернете сайтами, предотвращая создание профилей и истории просмотров.

Лукаш Олейник, исследователь безопасности, ознакомившийся с документом Google, заявил, что в случае эксплуатации уязвимостей «это позволило бы несанкционированное и неконтролируемое отслеживание пользователей». Олейник отметил, что подобные уязвимости конфиденциальности встречаются редко, и «проблемы в механизмах, разработанных для улучшения конфиденциальности, являются неожиданными и крайне контринтуитивными».

По всей видимости, Apple устранила эти уязвимости безопасности Safari в обновлении от декабря, согласно обновлению релиза, в котором благодарили Google за «ответственную практику раскрытия информации», хотя Apple еще не предоставила полное подтверждение безопасности, поэтому есть вероятность, что какие-то исправления «за кулисами» еще не завершены.