Un grave bug di Safari consente ai siti Web dannosi di accedere ad alcuni dettagli del tuo account Google e alla cronologia di navigazione recente.
Apple si presenta come un’azienda focalizzata sulla privacy, ma nessun dispositivo connesso a Internet è veramente sicuro. E nonostante le sue affermazioni, la società a volte impiega molto tempo per applicare le patch segnalate sfrutta. L'ultimo rapporto evidenzia che i siti Web dannosi possono accedere ad alcuni dettagli dell'account Google degli utenti e alla cronologia di navigazione recente su Safari. L'exploit è stato condiviso con Apple a novembre e non è stato ancora risolto.
Impronta digitaleJS ha divulgato questo grave bug di Safari in un recente post sul blog (via 9to5Mac). L'implementazione IndexedDB di Safari sui sistemi operativi Apple consente ai siti Web di leggere i nomi di database di altri domini. Sebbene questa implementazione non garantisca loro l'accesso al contenuto effettivo dei database, i nomi stessi possono rivelare molto su un utente. Ad esempio, Google memorizza i dati degli account registrati utilizzando gli ID univoci degli utenti come nomi di database. Ciò consente a un sito web di accedere a un numero ancora maggiore di informazioni, poiché l'ID utente di Google viene utilizzato per effettuare richieste API dei servizi Google. La correzione di questo bug impedirebbe ai siti Web di visualizzare i nomi dei database di altri domini. FingerprintJS spiega ulteriormente:
Tieni presente che queste perdite non richiedono alcuna azione specifica da parte dell'utente. Una scheda o una finestra che viene eseguita in background e interroga continuamente l'API IndexedDB per i database disponibili, può apprendere quali altri siti Web visita un utente in tempo reale. In alternativa, i siti Web possono aprire qualsiasi sito Web in un iframe o in una finestra popup per attivare una perdita basata su IndexedDB per quel sito specifico.
Considerando la gravità di questo bug, non è chiaro il motivo per cui Apple non lo abbia ancora corretto. Con l'exploit che viene pubblicato pubblicamente, possiamo solo sperare che l'azienda lo aggiusti in una prossima build di iOS 15.3. Nel frattempo, se utilizzi macOS, puoi proteggerti passando a un altro browser web. Sfortunatamente, però, tutti i browser su iOS e iPadOS sono interessati, poiché sono basati sul WebKit di Apple.
Quale browser web utilizzi principalmente e perché? Fatecelo sapere nella sezione commenti qui sotto.