Safari 15 bug fuit votre activité de navigation iPhone et Mac pendant que vous travaillez
Mise à jour 1/19 : Apple Selon un post sur Github, le problème est en cours de résolution.
quelques jours plus tard Apple En corrigeant un bogue qui pourrait permettre aux pirates d’envoyer votre iPhone dans une boucle infinie de plantages, FingerprintJS a découvert un bogue Safari qui pourrait exposer votre activité Internet et vos données personnelles à un site Web ouvert.
Selon Mozilla, la vulnérabilité provient de l’API IndexedDB, qui est utilisée pour stocker de grandes quantités de données structurées côté client. Comme l’explique FingerprintJS, étant donné qu’IndexedDB est une API de bas niveau utilisée par tous les principaux navigateurs, de nombreux développeurs « choisissent d’utiliser des wrappers qui résument la majeure partie de la technologie et fournissent une API plus facile à utiliser et plus conviviale pour les développeurs ».
Ainsi, selon FingerprintJS, la version d’IndexedDB de Safari viole le mécanisme de sécurité de même origine, qui limite la manière dont les documents ou les scripts chargés à partir d’une origine peuvent interagir avec des ressources d’autres origines. Ainsi, n’importe quel site Web peut surveiller d’autres sites Web que l’utilisateur visite dans différents onglets ou fenêtres.
C’est une énorme erreur. Sur OSX, les utilisateurs de Safari peuvent (temporairement) passer à un autre navigateur pour éviter les fuites d’origine croisée de leurs données. Les utilisateurs d’iOS n’ont pas le choix car Apple Les autres moteurs de navigation sont interdits. https://t.co/aXdhDVIjTT
– Jack Archibald (@jaffathecake) 16 janvier 2022
Étant donné que certains sites Web utilisent des identifiants uniques spécifiques à l’utilisateur dans les noms de base de données, FingerprintJS explique que les utilisateurs authentifiés peuvent être « identifiés de manière unique et précise » par des sites tels que YouTube, Google Calendar et Google Keep. Étant donné que vous utiliserez votre identifiant Google pour vous connecter à ces sites, la base de données créée pour ce compte peut être compromise, y compris les informations personnelles. FingerprintJS a trouvé plusieurs autres sites vulnérables à la vulnérabilité, notamment Twitter et Bloomberg.
Selon le post Webkit sur Github (trouvé par 9to5Mac), Apple Le problème est reconnu et est en cours de résolution.
Vous pouvez utiliser la démo créée par FingerprintJS pour voir l’erreur en action. La seule atténuation connue consiste à changer de navigateur sur macOS. Les utilisateurs d’iOS et d’iPadOS ont moins d’options car le moteur de navigateur d’Apple le gère, bien que FingerprintJS indique que les utilisateurs peuvent bloquer tout JavaScript par défaut et ne l’autoriser que sur des sites de confiance. Cela, ou attendez simplement que la mise à jour arrive. Apple iOS 15.3 et macOS 12.2 sont actuellement en cours de préparation pour la sortie, mais il n’est pas clair s’ils incluront des correctifs Safari.