Selon les conclusions de FingerprintJS, un service de détection des empreintes digitales et des fraudes dans les navigateurs (via 9to5Mac), un bug dans Safari 15 peut entraîner une fuite de votre activité de navigation et révéler certaines des informations personnelles liées à votre compte Google. La vulnérabilité découle d’un problème lié à l’implémentation par Apple d’IndexedDB, une interface de programmation d’applications (API) qui stocke des données sur votre navigateur.
Comme l’explique FingerprintJS, IndexedDB respecte la politique « same-origin« , qui empêche une origine d’interagir avec des données collectées par d’autres origines – essentiellement, seul le site web qui génère les données peut y accéder. Par exemple, si vous ouvrez votre compte de messagerie dans un onglet et que vous ouvrez ensuite une page Web malveillante dans un autre, la politique de l’origine commune empêche la page malveillante de visualiser et d’interférer avec votre messagerie.
Il s’agit d’un énorme bug. Sur OSX, les utilisateurs de Safari peuvent (temporairement) passer à un autre navigateur pour éviter que leurs données ne fuient à travers les origines. Les utilisateurs d’iOS n’ont pas ce choix, car Apple impose une interdiction des autres moteurs de navigateur. HTTPS://T.CO/AXDHDVIJTT
Jake Archibald (@jaffathecake)
FingerprintJS a créé une démo de preuve de concept que vous pouvez essayer si vous avez Safari 15 et plus sur votre Mac, iPhone ou iPad. La démo utilise la vulnérabilité IndexedDB du navigateur pour identifier les sites que vous avez ouverts (ou ouverts récemment), et montre comment les sites qui exploitent le bogue peuvent récupérer les informations de votre identifiant Google. Il ne détecte actuellement que 30 sites populaires affectés par le bug, tels que Instagram, Netflix, Twitter, Xbox, mais il est probable qu’il en affecte beaucoup plus.
Lire aussi : Meta – Les vrais problèmes antitrust ne font que commencer
Malheureusement, il n’y a pas grand-chose que vous puissiez faire pour contourner le problème, car FingerprintJS indique que le bug affecte également le mode de navigation privée sur Safari. Vous pouvez utiliser un autre navigateur sur macOS, mais l’interdiction par Apple des moteurs de navigation tiers sur iOS signifie que tous les navigateurs sont concernés. FingerprintJS a signalé la fuite au WebKit Bug Tracker le 28 novembre, mais il n’y a pas encore eu de mise à jour pour Safari. The Verge a contacté Apple pour lui demander des commentaires, mais n’a pas eu de réponse immédiate.