Questo bug di Safari potrebbe far trapelare la tua cronologia di navigazione recente

È stato scoperto che un bug di Safari 15 può rivelare la cronologia di navigazione recente e persino alcune informazioni dagli account Google registrati.

Un post sul blog di FingerprintJS (attraverso 9to5mac) ha rivelato che un enorme bug in Safari 15 può effettivamente far trapelare la cronologia di navigazione recente dall'app.

Chiunque abbia collegato il proprio account Google a Safari potrebbe anche essere a rischio che anche le proprie informazioni personali vengano rivelate.

Questa vulnerabilità è stata collegata a un problema con il modo in cui Apple implementa IndicizzatoDB, che è un'interfaccia di programmazione dell'applicazione (API) che memorizza i dati nel browser.

Il bug significa che un sito Web può vedere i nomi dei database per qualsiasi dominio su Mac e iOS, non solo i propri. Utilizzando i nomi, i siti Web possono estrarre informazioni di identificazione da una tabella di ricerca.

Ad esempio, se dovessi aprire la tua e-mail su una pagina Web e quindi aprire un'altra pagina Web che sembra essere dannosa, l'applicazione di Apple dell'API significa che il sito Web dannoso può visualizzare la tua e-mail e raschiare il tuo ID utente di Google, che può essere utilizzato per trovare ulteriori informazioni su voi.

Questo è un enorme bug. Su OSX, gli utenti di Safari possono (temporaneamente) passare a un altro browser per evitare che i loro dati si diffondano tra le origini. Gli utenti iOS non hanno tale scelta, perché Apple impone il divieto ad altri motori di browser. https://t.co/aXdhDVIjTT

— Jake Archibald (@jaffathecake) 16 gennaio 2022

Di solito, una politica chiamata politica della stessa origine impedirebbe che ciò accada, poiché impedisce a un'origine di interagire con i dati raccolti altrove; in altre parole, se dovessi aprire la tua e-mail e poi un sito Web dannoso, il sito Web pericoloso non avrebbe modo di accedere alla tua e-mail o ad altre pagine Web con cui interagisci.

FingerprintsJS ha anche preso in giro a demo di prova del concetto, che ci mostra una tabella di ricerca di circa 30 nomi di dominio che includono la vulnerabilità IndexedDB del browser, inclusi Netflix, Twitter e Xbox. Puoi utilizzare il sito se hai Safari su qualsiasi dispositivo Apple per vedere tutti i siti che hai aperto di recente e vedere come il bug può accedere alle tue informazioni.

Tuttavia, è stato sottolineato che la stessa tecnica potrebbe essere utilizzata su un insieme più ampio di nomi di dominio, con qualsiasi sito Web che utilizza l'API JavaScript IndexedDB ora vulnerabile allo scraping dei dati.

Sfortunatamente, tutte le versioni attuali di Safari su iOS e Mac non sono protette, con Apple che attualmente non commenta il problema originariamente segnalato da FingerprintJS il 28 novembre.

Saremo sicuri di tenerti aggiornato con questa fuga di notizie non appena verranno pubblicate ulteriori informazioni. Abbiamo contattato Apple per un commento ma non ci siamo sentiti al momento della stesura di questo articolo.

Perché fidarsi del nostro giornalismo?

Fondata nel 2004, Trusted Reviews esiste per fornire ai nostri lettori consigli completi, imparziali e indipendenti su cosa acquistare.

Oggi abbiamo 9 milioni di utenti al mese in tutto il mondo e valutiamo più di 1.000 prodotti all'anno.