Secondo i risultati di FingerprintJS, un servizio di rilevamento delle frodi e delle impronte digitali del browser, un bug in Safari 15 potrebbe rivelare la tua attività online e alcune informazioni personali collegate al tuo account Google (tramite 9to5Mac). Il problema riguarda l’implementazione di Apple di IndicizzatoDB, un’API che memorizza i dati sul tuo browser.
IndexedDB, come tutti i database Web, aderisce alla policy della stessa origine, il che significa che un’origine non può interagire con i dati generati su altre origini. La stessa politica di origine impedisce a una pagina dannosa di visualizzare e manomettere la tua e-mail se apri il tuo account e-mail in una scheda e poi visiti un sito dannoso in un’altra.
Il bug di Safari che espone il tuo ID utente di Google ad altri siti
L’implementazione dell’API IndexedDB da parte di Apple in Safari 15, secondo FingerprintJS, viola la politica della stessa origine. Quando un sito Web interagisce con un database in Safari, FingerprintJS afferma che “un nuovo database (vuoto) con lo stesso nome viene creato in tutti gli altri frame, schede e finestre attivi all’interno della stessa sessione del browser”.
Ciò indica che altri siti Web potrebbero visualizzare i nomi di altri database sviluppati su altri siti, che potrebbero contenere informazioni specifiche sulla tua identità. FingerprintJS identifica i siti Web che utilizzano il tuo account Google, come YouTube, Google Calendar e Google Keep, tra gli altri. Poiché il tuo ID utente di Google consente a Google di accedere ai tuoi dati disponibili pubblicamente, come l’immagine del tuo profilo, la vulnerabilità di Safari può esporli ad altri siti web.
Questo è un enorme bug. Su OSX, gli utenti di Safari possono (temporaneamente) passare a un altro browser per evitare che i loro dati si diffondano tra le origini. Gli utenti iOS non hanno tale scelta, perché Apple impone il divieto ad altri motori di browser. https://t.co/aXdhDVIjTT
— Jake Archibald (@jaffathecake) 16 gennaio 2022
Il governo indiano avverte gli utenti di Chrome di un problema di sicurezza
FingerprintJS creato una dimostrazione di prova del concetto puoi valutare se hai Safari 15 o versioni successive sul tuo Mac, iPhone o iPad. La dimostrazione utilizza il difetto IndexedDB del browser per identificare i siti che hai aperto (o aperto di recente) e come i siti che sfruttano il difetto possono raccogliere informazioni dal tuo ID utente di Google. Attualmente rileva solo 30 siti principali interessati dal bug, come Instagram, Netflix, Twitter e Xbox, ma è probabile che incida molto di più.
Sfortunatamente, non c’è molto che puoi fare al riguardo perché il bug influisce anche sulla modalità di navigazione privata in Safari. Puoi utilizzare un browser diverso su macOS, ma tutti i browser sono interessati dal divieto del motore di browser di terze parti di Apple su iOS. Il 28 novembre, FingerprintJS ha segnalato la fuga di notizie al WebKit Bug Tracker, ma deve ancora esserci un aggiornamento per Safari.