Safari 15 récemment publié par Apple contient un bogue qui peut révéler votre historique de navigation et d’autres informations importantes à des sites Web malveillants. Le bogue, tel que découvert par FingerprintJS, a été trouvé dans l’API IndexesDB de Safari et reste exploitable jusqu’à présent. Voici ce que vous devez savoir à ce sujet.
Méfiez-vous de ce bogue de Safari 15
Le bogue Safari découvert a été expliqué dans un article de blog détaillé. Selon le billet de blog, une vulnérabilité dans la mise en œuvre d’IndexedDB, une interface de programmation d’application (API) de bas niveau utilisée pour stocker des quantités importantes de données de navigation structurées, permet aux sites Web de suivre l’activité des utilisateurs et d’acquérir des ID utilisateur Google uniques dans Safari 15.
L’identifiant d’utilisateur Google est un identifiant unique permettant de reconnaître un compte Google et peut être utilisé pour obtenir des informations personnelles publiques sur les utilisateurs. L’exploit peut donc divulguer ces informations, y compris les photos de profil des utilisateurs, aux cybercriminels.
Pour ceux qui ne le savent pas, le WebKit IndexedDB, comme la plupart des technologies de sécurité Web modernes, suit le politique de même origine pour protéger les données des utilisateurs dans les navigateurs Web. Cela signifie qu’il peut accéder uniquement aux données stockées dans un domaine et empêche les données d’une origine d’interagir avec les ressources d’une autre origine. En termes simples, si vous ouvrez un site Web dans un onglet de votre navigateur et votre e-mail dans un autre, la politique de même origine empêche le site Web de visualiser ou de suivre l’activité de l’autre onglet dans lequel votre e-mail est ouvert.
Pour mieux expliquer cela, le Empreinte digitaleJS L’équipe a créé un site Web de démonstration de preuve de concept pour présenter le bogue dans Safari 15. Ainsi, si vous utilisez Safari sur votre appareil Mac ou iOS, vous pouvez allez sur ce lien et essayez la démo par vous-même.
Lors de nos tests, le site Web de démonstration a pu suivre les sites Web visités pendant la session de navigation et a également pu acquérir l’identifiant Google unique et la photo de profil correspondante. On dit de détecter 30 sites Web populaires à l’heure actuelle, y compris Bloomberg, Slack, Instagram, Netflix, Twitter, etc. Par ailleurs, le bogue peut également affecter les utilisateurs en mode de navigation privée sur Safari.
Le message suggère en outre que même si les «bases de données dupliquées d’origine croisée» peuvent être supprimées, un problème ne permet pas que cela se produise.
Il est révélé que Empreinte digitaleJS signalé le bogue à Apple le 28 novembre de l’année dernière. Cependant, aucune mesure n’a été prise pour le résoudre depuis lors. Il reste à voir quelles mesures Apple prend pour trier cela, étant donné qu’un utilisateur ne peut pas faire grand-chose. Nous vous recommandons de passer à un autre navigateur iPhone jusqu’à ce que ce bogue Safari soit corrigé. Cependant, changer de navigateur est futile sur iOS et iPadOS !