Ce bogue Safari pourrait divulguer votre historique de navigation récent

Il a été découvert qu'un bogue Safari 15 peut divulguer votre historique de navigation récent et même certaines informations des comptes Google connectés.

Un article de blog de Empreinte digitaleJS (passant par 9to5mac) a révélé qu'un énorme bogue dans Safari 15 peut en fait divulguer votre historique de navigation récent à partir de l'application.

Toute personne ayant lié son compte Google à Safari pourrait également courir le risque que ses informations personnelles soient également révélées.

Cette vulnérabilité a été liée à un problème avec la façon dont Apple implémente IndexedDB, qui est une interface de programmation d'application (API) qui stocke des données sur votre navigateur.

Le bogue signifie qu'un site Web peut voir les noms des bases de données pour n'importe quel domaine sur Mac et iOS, pas seulement le leur. En utilisant les noms, les sites Web peuvent extraire des informations d'identification à partir d'une table de recherche.

Par exemple, si vous deviez ouvrir votre courrier électronique sur une page Web, puis ouvrir une autre page Web malveillante, l'application d'Apple de l'API signifie que le site Web malveillant peut voir votre e-mail et récupérer votre identifiant d'utilisateur Google, qui peut être utilisé pour obtenir plus d'informations sur vous.

C'est un énorme bug. Sur OSX, les utilisateurs de Safari peuvent (temporairement) passer à un autre navigateur pour éviter que leurs données ne fuient d'une origine à l'autre. Les utilisateurs d'iOS n'ont pas ce choix, car Apple impose une interdiction sur les autres moteurs de navigation. https://t.co/aXdhDVIjTT

– Jake Archibald (@jaffathecake) 16 janvier 2022

Habituellement, une politique appelée politique de même origine empêcherait cela de se produire, car elle empêche une origine d'interagir avec des données collectées ailleurs; en d'autres termes, si vous deviez ouvrir votre e-mail puis un site Web malveillant, le site Web dangereux n'aurait aucun moyen d'accéder à votre e-mail ou aux autres pages Web avec lesquelles vous interagissez.

FingerprintsJS a également simulé un démonstration de preuve de concept, qui nous montre une table de recherche d'environ 30 noms de domaine qui incluent la vulnérabilité IndexedDB du navigateur, y compris Netflix, Twitter et Xbox. Vous pouvez utiliser le site si vous avez Safari sur n'importe quel appareil Apple pour voir tous les sites que vous avez ouverts récemment et voir comment le bogue peut accéder à vos informations.

Cependant, il a été souligné que la même technique pourrait être utilisée sur un plus grand nombre de noms de domaine, tout site Web utilisant l'API JavaScript IndexedDB étant désormais vulnérable au grattage des données.

Malheureusement, toutes les versions actuelles de Safari sur iOS et Mac ne sont pas protégées, Apple ne commentant actuellement pas le problème initialement signalé par FingerprintJS le 28 novembre.

Nous ne manquerons pas de vous tenir au courant de cette fuite dès que de plus amples informations seront publiées. Nous avons contacté Apple pour un commentaire, mais nous n'avions pas eu de réponse au moment de la rédaction de cet article.

Pourquoi faire confiance à notre journalisme ?

Fondée en 2004, Trusted Reviews existe pour donner à nos lecteurs des conseils approfondis, impartiaux et indépendants sur ce qu'il faut acheter.

Aujourd'hui, nous comptons 9 millions d'utilisateurs par mois dans le monde et évaluons plus de 1 000 produits par an.