Un nouveau bogue de Safari peut exposer l'historique de navigation des utilisateurs d'Apple et les détails de leur compte Google
Une vulnérabilité dans Safari peut être exploitée pour exposer l’historique d’un navigateur, et éventuellement des éléments d’identité.
fingerprintJS a révélé dans son rapport que le bogue été introduit dans Safari 15 via l’API Indexed Database (IndexedDB), qui fait partie du moteur de développement de navigateur Web WebKit d’Apple. IndexedDB peut être utilisé pour enregistrer des données sur ordinateur, telles que les sites Web visités, ce qui les rend plus rapides lorsque l’utilisateur revisite les mêmes sites plus tard.
IndexedDB suit également le mécanisme de sécurité de la politique de same-origin, qui ne permet pas aux sites Web d’interagir librement les uns avec les autres à moins qu’ils n’aient le même nom de domaine.
Malheureusement, le bogue révélé par FingerprintJS fait qu'IndexedDB viole la politique de l'origine commune, exposant les données qu'il a collectées à des sites web auprès desquels il ne les a pas collectées. Pire encore, certains sites Web, comme ceux du réseau de Google, utilisent des identifiants uniques propres à l'utilisateur dans les données fournies à IndexedDB. Cela signifie que, si vous êtes connecté à votre compte Google, les données collectées peuvent être utilisées pour identifier précisément votre historique de navigation et les détails de votre compte. Et si vous êtes connecté à plus d'un compte, il est également possible de le savoir.
La navigation en mode privé de Safari peut atténuer les dommages potentiels, car un onglet privé ne peut pas savoir ce qui se passe dans les autres onglets, qu'ils soient privés ou publics. Mais si vous visitez plusieurs sites web différents dans le même onglet [privé], toutes les bases de données avec lesquelles ces sites web interagissent sont transmises à tous les sites web visités par la suite.
Les utilisateurs de Mac peuvent éviter la vulnérabilité en passant de Safari à un autre navigateur, mais les personnes sous iOS ou iPadOS n'ont pas de chance. Si seul Safari a été touché sur Mac, le fait qu'Apple exige que tous les navigateurs web iOS et iPad utilisent WebKit signifie que le bogue IndexedDB a touché tous les navigateurs sur ces systèmes.