Un bogue dans Safari 15 peut divulguer votre activité de navigation et peut également révéler certaines des informations personnelles attachées à votre compte Google, selon les conclusions de FingerprintJS, un service d'empreintes digitales et de détection des fraudes (via 9to5Mac ). La vulnérabilité provient d'un problème lié à l'implémentation par Apple d'IndexedDB, une interface de programmation d'application (API) qui stocke des données sur votre navigateur.
Comme expliqué par FingerprintJS, IndexedDB respecte la politique de même origine, qui empêche une origine d'interagir avec des données collectées sur d'autres origines – essentiellement, seul le site Web qui génère des données peut y accéder. Par exemple, si vous ouvrez votre compte de messagerie dans un onglet, puis ouvrez une page Web malveillante dans un autre, la politique de même origine empêche la page malveillante d'afficher et de se mêler de votre messagerie.
Vous ne pouvez pas faire grand-chose pour obtenir autour de la question
FingerprintJS a constaté que l'application par Apple de l'API IndexedDB dans Safari 15 viole en fait la politique de même origine. Lorsqu'un site Web interagit avec une base de données dans Safari, FingerprintJS indique qu'”une nouvelle base de données (vide) portant le même nom est créée dans tous les autres cadres, onglets et fenêtres actifs au sein de la même session de navigateur”.
Cela signifie que d'autres sites Web peuvent voir le nom d'autres bases de données créées sur d'autres sites, qui pourraient contenir des détails spécifiques à votre identité. FingerprintJS note les sites qui utilisent votre compte Google, comme YouTube, Google Calendar et Google Keep, génèrent tous des bases de données avec votre ID utilisateur Google unique dans son nom. Votre ID utilisateur Google permet à Google d'accéder à vos informations accessibles au public, telles que votre photo de profil, que le bogue Safari peut exposer à d'autres sites Web.
C'est un énorme bug. Sur OSX, les utilisateurs de Safari peuvent (temporairement) passer à un autre navigateur pour éviter que leurs données ne fuient d'une origine à l'autre. Les utilisateurs d'iOS n'ont pas ce choix, car Apple impose une interdiction sur les autres moteurs de navigation. https://t.co/aXdhDVIjTT
— Jake Archibald (@jaffathecake) 16 janvier 2022 iPad. La démo utilise la vulnérabilité IndexedDB du navigateur pour identifier les sites que vous avez ouverts (ou ouverts récemment) et montre comment le bogue récupère les informations de votre ID utilisateur Google. Il ne détecte actuellement que 30 sites populaires affectés par le bogue, tels que Instagram, Netflix, Twitter, Xbox, mais il en affecte probablement beaucoup plus.
Malheureusement, il n'y a pas grand-chose que vous peut faire pour contourner le problème, car FingerprintJS indique que le bogue affecte également le mode de navigation privée sur Safari. Vous pouvez utiliser un navigateur différent sur macOS, mais l'interdiction du moteur de navigateur tiers d'Apple sur iOS signifie que tous les navigateurs sont concernés. FingerprintJS a signalé la fuite au WebKit Bug Tracker le 28 novembre, mais il n'y a pas encore eu de mise à jour de Safari. The Verge a contacté Apple avec une demande de commentaire, mais n'a pas immédiatement répondu.