Un bug sérieux de Safari permet à des sites Web malveillants d'accéder à certains détails de votre compte Google et à votre historique de navigation récent.
Apple se présente comme une entreprise axée sur la confidentialité, mais aucun appareil connecté à Internet n'est véritablement sécurisé. Et malgré ses affirmations, la société met parfois beaucoup de temps à mettre à jour les correctifs signalés. exploits. Le dernier rapport souligne que les sites Web malveillants peuvent accéder à certains détails du compte Google des utilisateurs et à l'historique de navigation récent sur Safari. L'exploit a été partagé avec Apple en novembre et n'a toujours pas été résolu.
Empreinte digitaleJS a divulgué ce sérieux bug de Safari dans un article de blog récent (via 9à5Mac). L'implémentation IndexedDB de Safari sur les systèmes d'exploitation Apple permet aux sites Web de lire les noms de bases de données d'autres domaines. Bien que cette implémentation ne leur donne pas accès au contenu réel des bases de données, les noms eux-mêmes peuvent en révéler beaucoup sur un utilisateur. Par exemple, Google stocke les données des comptes connectés en utilisant les identifiants uniques des utilisateurs comme noms de base de données. Cela permet à un site Web d'accéder à encore plus de vos informations, car l'ID utilisateur Google est utilisé pour effectuer des requêtes API aux services Google. Le correctif de ce bug consisterait à empêcher les sites Web d'afficher les noms de bases de données d'autres domaines. FingerprintJS explique en outre :
Notez que ces fuites ne nécessitent aucune action spécifique de l’utilisateur. Un onglet ou une fenêtre qui s'exécute en arrière-plan et interroge en permanence l'API IndexedDB pour connaître les bases de données disponibles, peut savoir quels autres sites Web un utilisateur visite en temps réel. Alternativement, les sites Web peuvent ouvrir n'importe quel site Web dans une iframe ou une fenêtre contextuelle afin de déclencher une fuite basée sur IndexedDB pour ce site spécifique.
Compte tenu de la gravité de ce bug, on ne sait pas pourquoi Apple ne l'a pas encore corrigé. L'exploit étant publié publiquement, nous ne pouvons qu'espérer que la société le corrige dans une prochaine version de iOS 15.3. En attendant, si vous utilisez macOS, vous pouvez vous protéger en passant à un autre navigateur Web. Malheureusement, tous les navigateurs sur iOS et iPadOS sont concernés, car ils sont basés sur le WebKit d'Apple.
Quel navigateur Web utilisez-vous principalement et pourquoi? Faites-nous savoir dans la section commentaires ci-dessous.