Il bug di Safari 15 può far trapelare la tua attività di navigazione recente e gli identificatori personali

Un bug in Safari 15 può far trapelare la tua attività di navigazione e può anche rivelare alcune delle informazioni personali allegate al tuo account Google, secondo risultati di FingerprintJS, un servizio di fingerprinting del browser e rilevamento delle frodi (tramite 9to5Mac). La vulnerabilità deriva da un problema con l’implementazione di Apple di IndicizzatoDB, un’interfaccia di programmazione dell’applicazione (API) che memorizza i dati sul tuo browser.

Come spiegato da FingerprintJS, IndexedDB si attiene al politica della stessa origine, che impedisce a un’origine di interagire con i dati raccolti su altre origini — in sostanza, solo il sito Web che genera i dati può accedervi. Ad esempio, se apri il tuo account e-mail in una scheda e quindi apri una pagina Web dannosa in un’altra, la politica della stessa origine impedisce alla pagina dannosa di visualizzare e intromettersi con la tua e-mail.

FingerprintJS ha rilevato che l’applicazione di Apple dell’API IndexedDB in Safari 15 viola effettivamente la politica della stessa origine. Quando un sito Web interagisce con un database in Safari, FingerprintJS afferma che “un nuovo database (vuoto) con lo stesso nome viene creato in tutti gli altri frame, schede e finestre attivi all’interno della stessa sessione del browser”.

Ciò significa che altri siti Web possono vedere il nome di altri database creati su altri siti, che potrebbero contenere dettagli specifici della tua identità. FingerprintJS rileva che i siti che utilizzano il tuo account Google, come YouTube, Google Calendar e Google Keep, generano tutti database con il tuo ID utente Google univoco nel nome. Il tuo ID utente di Google consente a Google di accedere alle tue informazioni pubblicamente disponibili, come la tua immagine del profilo, che il bug di Safari può esporre ad altri siti web.

FingerprintJS creato una dimostrazione di prova del concetto puoi provare se hai Safari 15 e versioni successive sul tuo Mac, iPhone o iPad. La demo utilizza la vulnerabilità IndexedDB del browser per identificare i siti che hai aperto (o aperto di recente) e mostra come il bug estrae informazioni dal tuo ID utente di Google. Attualmente rileva solo 30 siti popolari che sono interessati dal bug, come Instagram, Netflix, Twitter, Xbox, ma probabilmente colpisce molto di più.

Sfortunatamente, non c’è molto che puoi fare per aggirare il problema, poiché FingerprintJS afferma che il bug influisce anche sulla modalità di navigazione privata su Safari. Puoi utilizzare un browser diverso su macOS, ma il divieto del motore browser di terze parti di Apple su iOS significa che tutti i browser sono interessati. FingerprintJS ha segnalato la fuga di notizie al WebKit Bug Tracker il 28 novembre, ma non c’è stato ancora un aggiornamento per Safari. Il confine ha contattato Apple con una richiesta di commento ma non ha ricevuto risposta immediatamente.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.