Команда Mozilla Foundation выпустила обновление для мобильного браузера Firefox на платформе iOS. Причина - обнаружение опасной ошибки, которая позволяла другим приложениям на устройстве получать доступ к личным данным пользователя. Уязвимость получила идентификатор CVE-2026-8706 (стандартный номер уязвимости, присваиваемый международным проектом по каталогизации проблем безопасности). Ее нашел исследователь Мунеаки Нисимура.
Детали уязвимости
Проблема затрагивает всех, кто использует Firefox для iOS на устройствах Apple. Версия 151.0, вышедшая 19 мая 2026 года, исправляет эту брешь. Пользователям настоятельно рекомендуется установить обновление как можно скорее. Но что именно произошло и почему это так опасно?
Суть уязвимости кроется в механизме "режима чтения". Эта функция браузера преобразует веб-страницу в удобный для чтения формат, убирая лишние элементы. Для этого Firefox для iOS запускал локальный веб-сервер - небольшую программу, работающую на самом устройстве. Сервер не требовал никакой аутентификации, то есть любой процесс на телефоне мог отправлять ему запросы. И вот здесь начиналась главная проблема.
Другое установленное приложение могло обратиться к этому локальному серверу и запросить любой произвольный URL (адрес веб-страницы). Сервер, будучи доверчивым, отвечал от имени браузера. А поскольку Firefox уже был авторизован на различных сайтах - социальных сетях, почтовых сервисах, банках, - ответ приходил с файлами cookie (небольшими данными, которые сайты хранят на устройстве для идентификации сессии). То есть злоумышленное приложение получало контент страницы так, как если бы сам Firefox ее загрузил - с учетными записями пользователя.
Последствия могли быть самыми серьезными. Атакующее приложение способно прочитать личную переписку, историю покупок, платежную информацию, если пользователь был залогинен в соответствующих сервисах. Кроме того, злоумышленник мог выполнять действия от имени жертвы: менять пароли, совершать транзакции, размещать публикации. При этом жертва не замечала ничего подозрительного, потому что атака происходила полностью на устройстве.
Важно понять, что для эксплуатации этой уязвимости не требовалось какого-то сложного вредоносного кода. Достаточно, чтобы на смартфоне оказалось приложение, способное отправлять HTTP-запросы локальному серверу. Например, обычная игра с единственным разрешением на доступ к сети могла бы это сделать. Разработчики Apple накладывают строгие ограничения на работу приложений в iOS, но в данном случае локальный сервер Firefox предоставлял легитимную точку входа. Поэтому проблема классифицирована как высокая по уровню опасности.
Стоит добавить, что такой тип уязвимости известен специалистам по безопасности. Он относится к классу "межприкладное взаимодействие" (inter-application sharing). Когда один процесс на устройстве открывает неаутентифицированный канал связи, другие программы могут злоупотреблять доверием. В данном случае режим чтения, призванный улучшить пользовательский опыт, стал каналом утечки.
Для специалистов по информационной безопасности этот случай - лишнее напоминание о важности проверки всех внутренних сервисов, которые приложение открывает на устройстве. Даже локальный сервер без аутентификации может стать вектором атаки. Рекомендуется использовать механизмы, встроенные в операционную систему, для разграничения доступа между процессами. Кроме того, стоит периодически проводить аудит кода на наличие подобных ошибок.
В итоге инцидент с CVE-2026-8706 показывает, как даже, казалось бы, безобидная функция браузера может стать серьезной угрозой конфиденциальности. Теперь ответственность лежит на пользователях - установить обновление и не откладывать это в долгий ящик. Остается надеяться, что подобные ошибки будут выявляться чаще на этапе разработки. Однако система безопасности Mozilla Foundation сработала эффективно: уязвимость обнаружена, подтверждена, и выпущен патч. Это стандартная процедура, но для тысяч людей она может значить разницу между сохранением личных данных и их утечкой.
Ссылки
