Selon les conclusions de Empreinte digitaleJS, un service de prise d’empreintes digitales du navigateur et de détection des fraudes, un bogue dans Safari 15 peut révéler votre activité en ligne et certaines informations personnelles liées à votre compte Google (via 9to5Mac). Le problème concerne la mise en œuvre par Apple de IndexedDB, une API qui stocke des données sur votre navigateur.
IndexedDB, comme toutes les bases de données Web, adhère à la politique de même origine, ce qui signifie qu’une origine ne peut pas interagir avec les données générées sur d’autres origines. La politique de même origine empêche une page malveillante d’afficher et de falsifier votre courrier électronique si vous ouvrez votre compte de messagerie dans un onglet, puis visitez un site nuisible dans un autre.
Le bogue Safari qui expose votre ID utilisateur Google à d’autres sites
L’implémentation par Apple de l’API IndexedDB dans Safari 15, selon FingerprintJS, viole la politique de même origine. Lorsqu’un site Web interagit avec une base de données dans Safari, FingerprintJS affirme qu'”une nouvelle base de données (vide) portant le même nom est créée dans tous les autres cadres, onglets et fenêtres actifs au sein de la même session de navigateur”.
Cela indique que d’autres sites Web peuvent voir les noms d’autres bases de données développées sur d’autres sites, qui peuvent contenir des informations spécifiques à votre identité. FingerprintJS identifie les sites Web qui utilisent votre compte Google, tels que YouTube, Google Calendar et Google Keep, entre autres. Étant donné que votre ID utilisateur Google permet à Google d’accéder à vos données accessibles au public, telles que votre image de profil, la vulnérabilité Safari peut l’exposer à d’autres sites Web.
C’est un énorme bug. Sur OSX, les utilisateurs de Safari peuvent (temporairement) passer à un autre navigateur pour éviter que leurs données ne fuient d’une origine à l’autre. Les utilisateurs d’iOS n’ont pas ce choix, car Apple impose une interdiction sur les autres moteurs de navigation. https://t.co/aXdhDVIjTT
– Jake Archibald (@jaffathecake) 16 janvier 2022
Le gouvernement indien met en garde les utilisateurs de Chrome contre un problème de sécurité
FingerprintJS créé une démonstration de preuve de concept vous pouvez évaluer si vous avez Safari 15 ou supérieur sur votre Mac, iPhone ou iPad. La démonstration utilise la faille IndexedDB du navigateur pour identifier les sites que vous avez ouverts (ou récemment ouverts) et comment les sites qui profitent de la faille peuvent collecter des informations à partir de votre ID utilisateur Google. Il ne détecte actuellement que 30 sites majeurs qui sont touchés par le bogue, tels qu’Instagram, Netflix, Twitter et Xbox, mais il est susceptible d’avoir un impact bien plus important.
Malheureusement, vous ne pouvez pas y faire grand-chose car le bogue affecte également le mode de navigation privée dans Safari. Vous pouvez utiliser un navigateur différent sur macOS, mais tous les navigateurs sont concernés par l’interdiction du moteur de navigateur tiers d’Apple sur iOS. Le 28 novembre, FingerprintJS a signalé la fuite au WebKit Bug Tracker, mais il n’y a pas encore eu de mise à jour de Safari.
