Deutsch
English
Español
Français
Nederlands
Polski
Português
Русский
Türkçe
Svenska
Chinese
MagyarUnpatched Safari 15 bug su macOS, iOS 15 e iPadOS 15 trovato per esporre la cronologia di navigazione e le informazioni dell'account Google
Gli utenti di Safari su macOS e iOS possono essere vulnerabili a una grave violazione della privacy. Esiste un bug nell'implementazione di Safari 15 di IndexedDB, che consente a qualsiasi sito web di leggere le voci del database non solo del proprio ma anche di altri siti web. Pertanto, informazioni come le stringhe di ID utente di Google possono essere viste da terze parti non autorizzate, compromettendo potenzialmente la propria identità.
Tutti i browser utilizzano un IndexedDB o un database indicizzato per memorizzare quantità significative di dati sulla memoria del client per un rapido recupero. Ogni browser determina i propri limiti su quanto spazio allocare a IndexedDB e cancella automaticamente i dati quando questi limiti si avvicinano, in base a criteri definiti. IndexedDB è accessibile tramite un'API di basso livello, che di solito è astratta per un'API più adatta agli sviluppatori.
In Safari 15, l'API IndexedDB è vista violare la "same-origin policy". Si dice che due URL hanno la stessa origine se usano lo stesso protocollo, porta (se specificata) e host. Same-origin è un meccanismo di sicurezza critico che impedisce ai documenti o agli script di un'origine di interagire con dati o risorse di altre origini, a meno che non sia consentito tramite la condivisione di risorse cross-origin (CORS).
Secondo FingerprintJS, che per primo ha segnalato il problema a Apple il 28 novembre stesso, Safari 15 su macOS e tutti i browser su iOS 15 e iPadOS 15 creano un database vuoto con lo stesso nome per tutte le finestre e schede attive ogni volta che un sito web interagisce con IndexedDB. Questo significa che un sito web abilmente codificato da una diversa "origine" può essenzialmente raschiare ciò che l'utente sta visitando in qualsiasi scheda o finestra aperta, a meno che non venga utilizzato un profilo diverso. Quindi, anche le informazioni in finestre private non sono sicure.
Siti web come Google e i suoi servizi creano database che includono l'ID utente di Google per ogni account di accesso. Un sito web maligno può semplicemente innescare l'apertura di un iframe o popup e raschiare queste informazioni. Poiché questo ID utente è un identificatore, può essere potenzialmente utilizzato per recuperare i dettagli della persona come la foto del profilo, per esempio.
Gli analisti di FingerprintJS hanno creato un sito demo (safarileaks.com) che mostra la falla in azione e funziona per più di 20 siti web aperti in altre schede e finestre nello stesso profilo. Se siete collegati al vostro account Google nella stessa istanza, il sito demo rivelerà anche il vostro ID utente Google.
Purtroppo, non c'è molto che può essere fatto dall'utente finale al momento. Bloccare tutti i contenuti JavaScript è un workaround, ma questo ostacola gravemente l'esperienza di navigazione. Mentre gli utenti su macOS possono utilizzare un browser diverso come Microsoft Edge o Mozilla Firefox, quelli su iOS non hanno questa opzione, poiché anche i browser di terze parti devono utilizzare Webkit.
Fonte(i)
