Theo FingerprintJS - nhóm bảo mật phát hiện ra lỗ hổng này, lỗi xảy ra trong quá trình triển khai thành phần IndexedDB của Safari 15, cho phép một website có thể lấy được thông tin về tên miền của các website khác mà người dùng truy cập. Nếu khai thác lỗ hổng trên, kẻ xấu có thể biết người dùng đã vào những trang nào.
"Tất cả các trang web tương tác với API IndexedDB đều bị phát hiện", nhóm này nói và khẳng định lỗ hổng có thể ảnh hưởng cả ở chế độ duyệt web ẩn danh.
Theo các chuyên gia, đây là lỗi nghiêm trọng và vi phạm quyền riêng tư người dùng một cách rõ ràng. Nó còn trở nên nguy hiểm đối với một số dịch vụ mà địa chỉ web có chứa ID của người dùng. Ví dụ, với dịch vụ của Google, trình duyệt Safari lưu trữ một phiên bản IndexedDB ứng với mỗi tài khoản mà người dùng đăng nhập, trong đó có kèm theo ID tài khoản. Trang 9to5Mac cho biết đã tiến hành thử khai thác lỗ hổng và ít nhất có thể biết được ảnh đại diện của tài khoản Google dựa trên ID nói trên.
Theo FingerprintJS, người dùng Safari hiện không có cách nào thực sự hiệu quả để tự bảo vệ mình cho đến khi Apple khắc phục vấn đề. Phương pháp kỹ thuật tạm thời là kích hoạt chế độ chặn JavaScript. Tuy nhiên giải pháp này khiến việc duyệt web trở nên khó khăn hơn. Một cách khác là dùng trình duyệt khác thay thế cho Safari. Hiện nay, rất nhiều người sử dụng Safari do đây là trình duyệt mặc định trên iOS và iPad OS.