Lỗ hổng bảo mật này bắt nguồn từ việc Apple triển khai API giúp lưu trữ dữ liệu trên trình duyệt gọi là IndexedDB.
Theo báo cáo từ FingerprintJS, IndexedDB tuân theo chính sách nguồn gốc vốn hạn chế một nguồn tương tác với dữ liệu được thu thập trên các nguồn khác, về cơ bản chỉ trang web tạo dữ liệu mới có thể truy cập nó. Ví dụ: Nếu người dùng mở tài khoản email của mình trong một tab và sau đó mở một trang web độc hại trong một tab khác, chính sách nguồn gốc sẽ ngăn trang độc hại xem và can thiệp vào email của người dùng.
Tuy nhiên, FingerprintJS nhận thấy rằng ứng dụng API IndexedDB của Apple trong Safari 15 thực sự vi phạm chính sách nguồn gốc. Theo báo cáo, IndexedDB được hỗ trợ bởi phần lớn các trình duyệt hiện này và nắm giữ lượng dữ liệu đáng kể.
FingerprintJS lưu ý, các trang web sử dụng tài khoản Google như YouTube, Gmail hay Google Calendar đều tạo ra cơ sở dữ liệu với thông tin về tài khoản Google của người dùng. Do đó, khi mở tab truy cập các dịch vụ này mà trình duyệt đang mở một tab chứa trang web nào đó độc hại thì hoàn toàn có khả năng dữ liệu của người dùng bị lộ, ngay cả ở chế độ lướt web bảo mật.
Hiện, Apple chưa đưa ra bình luận về lỗ hổng này cũng như hướng khắc phục. Trước mắt, người dùng có thể sử dụng trình duyệt thay thế như Chrome. Song trong mọi trường hợp, trình duyệt web luôn phải được cập nhật lên phiên bản mới nhất.