Le bogue Safari 15 pourrait exposer votre activité de navigation et vos données personnelles

Quelques jours seulement après qu’Apple ait corrigé un bogue qui pourrait permettre à un pirate d’envoyer votre iPhone dans une boucle sans fin de plantages, FingerprintJS a découvert une vulnérabilité Safari qui pourraient exposer votre activité Internet et vos données personnelles à un site Web ouvert.

Le bogue provient du API IndexedDB, qui est utilisé pour le stockage côté client de quantités importantes de données structurées, selon Mozilla. Comme l’explique FingerprintJS, étant donné qu’IndexedDB est une API de bas niveau utilisée par tous les principaux navigateurs, de nombreux développeurs “choisissent d’utiliser des wrappers qui résument la plupart des aspects techniques et fournissent une API plus facile à utiliser et plus conviviale pour les développeurs”.

En tant que telle, la version de Safari d’IndexedDB viole le mécanisme de sécurité de même origine qui limite la façon dont les documents ou les scripts chargés à partir d’une origine peuvent interagir avec des ressources d’autres origines, selon FingerprintJS. Par conséquent, des sites Web arbitraires pourraient espionner les autres sites Web qu’un utilisateur visite dans différents onglets ou fenêtres.

C’est un énorme bug. Sur OSX, les utilisateurs de Safari peuvent (temporairement) passer à un autre navigateur pour éviter que leurs données ne fuient d’une origine à l’autre. Les utilisateurs d’iOS n’ont pas ce choix, car Apple impose une interdiction sur les autres moteurs de navigation. https://t.co/aXdhDVIjTT

– Jake Archibald (@jaffathecake) 16 janvier 2022

Étant donné que certains sites Web utilisent des identifiants uniques spécifiques à l’utilisateur dans les noms de base de données, FingerprintJS explique que les utilisateurs authentifiés peuvent être “identifiés de manière unique et précise” par des sites tels que YouTube, Google Calendar et Google Keep. Et puisque vous serez connecté à ces sites à l’aide de votre identifiant Google, les bases de données créées pour ce compte pourraient être divulguées, y compris des informations personnelles. FingerprintJS a découvert plusieurs autres sites vulnérables au bogue, notamment Twitter et Bloomberg.

Vous pouvez voir le bug en action en utilisant une démo créée par FingerprintJS. La seule atténuation connue consiste à changer de navigateur sur macOS. Les utilisateurs d’iOS et d’iPadOS ont moins d’options en raison de la gestion des moteurs de navigateur par Apple, bien que FingerprintJS note que les utilisateurs pourraient bloquer tout JavaScript par défaut et ne l’autoriser que sur des sites de confiance. Cela, ou attendez simplement qu’une mise à jour arrive. Apple prépare actuellement iOS 15.3 et macOS 12.2 pour la sortie, mais il n’est pas clair s’il inclut un correctif Safari.

Michael Simon couvre Apple depuis que l’iPod est l’iWalk. Son obsession pour la technologie remonte à son premier PC, l’IBM Thinkpad avec le clavier relevable pour remplacer le disque. Il attend toujours que cela revienne avec style.

Source link

superbox