Un bogue dans Safari 15 peut divulguer votre activité de navigation et peut également révéler certaines des informations personnelles attachées à votre compte Google, selon résultats de FingerprintJS, un service d’empreinte digitale de navigateur et de détection de fraude (via 9to5Mac). La vulnérabilité provient d’un problème avec l’implémentation par Apple de IndexedDB, une interface de programmation d’application (API) qui stocke des données sur votre navigateur.
Comme expliqué par FingerprintJS, IndexedDB respecte les politique de même origine, qui empêche une origine d’interagir avec des données collectées sur d’autres origines. En gros, seul le site Web qui génère les données peut y accéder. Par exemple, si vous ouvrez votre compte de messagerie dans un onglet, puis ouvrez une page Web malveillante dans un autre, la politique de même origine empêche la page malveillante de voir et d’interférer avec votre courrier électronique.
FingerprintJS a constaté que l’application par Apple de l’API IndexedDB dans Safari 15 viole en fait la politique de même origine. Lorsqu’un site Web interagit avec une base de données dans Safari, FingerprintJS indique qu' »une nouvelle base de données (vide) portant le même nom est créée dans tous les autres cadres, onglets et fenêtres actifs au sein de la même session de navigateur ».
Cela signifie que d’autres sites Web peuvent voir le nom d’autres bases de données créées sur d’autres sites, qui pourraient contenir des détails spécifiques à votre identité. FingerprintJS note les sites qui utilisent votre compte Google, comme YouTube, Google Calendar et Google Keep, génèrent tous des bases de données avec votre ID utilisateur Google unique dans son nom. Votre ID utilisateur Google permet à Google d’accéder à vos informations accessibles au public, telles que votre photo de profil, que le bogue Safari peut exposer à d’autres sites Web.
C’est un énorme bug. Sur OSX, les utilisateurs de Safari peuvent (temporairement) passer à un autre navigateur pour éviter que leurs données ne fuient d’une origine à l’autre. Les utilisateurs d’iOS n’ont pas ce choix, car Apple impose une interdiction sur les autres moteurs de navigation. https://t.co/aXdhDVIjTT
– Jake Archibald (@jaffathecake) 16 janvier 2022
FingerprintJS créé une démonstration de preuve de concept vous pouvez essayer si vous avez Safari 15 et supérieur sur votre Mac, iPhone ou iPad. La démo utilise la vulnérabilité IndexedDB du navigateur pour identifier les sites que vous avez ouverts (ou ouverts récemment) et montre comment les sites qui exploitent le bogue peuvent récupérer des informations de votre ID utilisateur Google. Il ne détecte actuellement que 30 sites populaires affectés par le bogue, tels que Instagram, Netflix, Twitter, Xbox, mais il en affecte probablement beaucoup plus.
Malheureusement, vous ne pouvez pas faire grand-chose pour contourner le problème, car FingerprintJS indique que le bogue affecte également le mode de navigation privée sur Safari. Vous pouvez utiliser un navigateur différent sur macOS, mais l’interdiction du moteur de navigateur tiers d’Apple sur iOS signifie que tous les navigateurs sont concernés. FingerprintJS a signalé la fuite au WebKit Bug Tracker le 28 novembre, mais il n’y a pas encore eu de mise à jour de Safari. Le bord a contacté Apple avec une demande de commentaire, mais n’a pas immédiatement répondu.