Apple ‘Corriger’ le bogue de Safari 15 qui a divulgué l’historique de navigation
Les développeurs d’Apple travailleraient pour corriger un bogue critique dans Safari 15 qui a été signalé au cours du week-end.
Selon l’entrée GitHub, une mise à jour de Safari qui corrige le bogue décrit est en cours, bien qu’elle n’ait pas encore été déployée pour les utilisateurs.
Selon MacRumors, le correctif Safari pourrait faire partie des prochaines mises à jour pour iPadOS 15, iOS 15 et macOS Monterey. Les versions bêta de Safari Technology Preview peuvent être mises à jour plus tôt.
Les versions antérieures de Safari sur iOS 14 et Big Sur n’étaient pas affectées par le bogue, les utilisateurs de ces navigateurs n’ont donc pas à s’en soucier.
histoire originale
Voici l’histoire originale que nous avons couverte le 17 janvier :
Une vulnérabilité a été découverte dans Safari 15 qui pourrait révéler l’activité du navigateur des utilisateurs de Mac, iPhone et iPad et rendre les informations personnelles associées à leur compte Google visibles pour les autres. FingerprintJS a découvert la vulnérabilité et signalé que, entre autres, des personnes non autorisées pouvaient voir les pages Web visitées.
Le problème est la façon dont Safari pour Mac et iOS implémente Indexed DB, une API pour stocker des données dans le navigateur.
Apple Le problème aurait été reconnu dès la fin novembre, mais aucune mesure n’a été prise. Bien que cela représente une violation potentiellement grave de la vie privée.
fuite
Lorsque vous visitez un site Web qui utilise une base de données locale dans un nouvel onglet, une nouvelle base de données vide portant le même nom est créée dans tous les autres onglets et fenêtres (à l’exception des onglets et fenêtres privés).
La plupart des sites qui utilisent ces bases de données donnent un nom à la base de données pour indiquer clairement de quel site il s’agit. Le résultat est que tous les autres sites ouverts peuvent théoriquement voir le site que vous venez d’ouvrir. Ces bases de données seront supprimées lorsque vous fermerez l’onglet, mais il sera alors trop tard.
« Le fait que les noms de bases de données soient divulgués à travers différentes sources est une violation manifeste de la vie privée », explique FingerprintJS. « Il permet à n’importe quel site Web de savoir quels sites Web les utilisateurs visitent dans différents onglets ou fenêtres. »
Les problèmes les plus sérieux de Google
Malheureusement, cela ne s’est pas arrêté là. Certains sites utilisent également des noms uniques qui peuvent être liés à des utilisateurs spécifiques. Google est le plus grand et le pire exemple ici. En effet, Google utilise un ID utilisateur interne comme nom de base de données, ce qui signifie qu’un site Web programmé pour exploiter une vulnérabilité Safari trouvera le code d’identification interne de votre compte Google.
Comme si cela ne suffisait pas, une base de données est également créée pour chaque compte Google auquel vous vous connectez. Par exemple, si vous êtes connecté à un compte personnel et à un compte professionnel, le site d’espionnage connaîtra les deux et pourra masquer la connexion entre eux.
notre proposition
jusqu’à Apple Ce bogue a été corrigé et nous vous recommandons de ne pas vous connecter à Google dans Safari. La vulnérabilité est facile à exploiter et est garantie d’être utilisée par des développeurs peu scrupuleux pour créer une base de données des identifiants Google uniques des utilisateurs.
En fait, il est préférable de conseiller aux utilisateurs soucieux de la confidentialité d’utiliser simplement une nouvelle fenêtre privée pour chaque page qu’ils visitent, ou jusque-là d’utiliser un navigateur alternatif tout aussi soucieux de la confidentialité, comme Firefox ou Brave.
Nous avons rassemblé les meilleurs navigateurs Mac et les meilleurs navigateurs iPhone dans des articles séparés.
Cet article a été initialement publié sur Macworld Suède. Reportage supplémentaire de David Price et Stephen Wiesend.