Un bug non corrigé de Safari 15 sur macOS, iOS 15 et iPadOS 15 expose l'historique de navigation et les informations du compte Google
Les utilisateurs de Safari sur macOS et iOS peuvent être vulnérables à une grave violation de la vie privée. Un bogue existe dans l'implémentation d'IndexedDB dans Safari 15, qui permet à n'importe quel site web de lire les entrées de la base de données non seulement du sien mais aussi de celles d'autres sites web. Par conséquent, des informations telles que les chaînes d'identification des utilisateurs de Google peuvent être vues par des tiers non autorisés, ce qui peut compromettre l'identité d'une personne.
Tous les navigateurs utilisent une base de données indexée https://developer.mozilla.org/en-US/docs/Web/API/IndexedDB_API ou une base de données indexée pour stocker des quantités importantes de données sur le disque dur du client afin de les retrouver rapidement. Chaque navigateur détermine ses propres limites quant à l'espace à allouer à IndexedDB et supprime automatiquement les données lorsque ces limites approchent, en fonction de critères définis. On accède à IndexedDB via une API de bas niveau, qui est généralement abstraite pour une API plus conviviale pour les développeurs.
Dans Safari 15, l'API IndexedDB est vue comme violant la "same-origin policy". On dit que deux URL ont la même origine si elles utilisent le même protocole, le même port (si spécifié) et le même hôte. La même origine est un mécanisme de sécurité essentiel qui empêche les documents ou les scripts d'une origine d'interagir avec des données ou des ressources d'autres origines, à moins que cela ne soit autorisé par le partage de ressources entre origines (CORS).
Selon FingerprintJS, qui a signalé le problème à Apple le 28 novembre dernier, Safari 15 sur macOS et tous les navigateurs sur iOS 15 et iPadOS 15 créent une base de données vide avec le même nom pour toutes les fenêtres et tous les onglets actifs chaque fois qu'un site web interagit avec IndexedDB. Cela signifie qu'un site Web intelligemment codé d'une "origine" différente peut essentiellement mettre au rebut ce que l'utilisateur visite dans tous les onglets ou fenêtres ouverts, à moins qu'un profil différent ne soit utilisé. Ainsi, même les informations contenues dans des fenêtres privées ne sont pas sécurisées.
Les sites web tels que Google et ses services créent des bases de données qui comprennent l'identifiant de l'utilisateur Google pour chaque compte connecté. Un site web malveillant peut simplement déclencher l'ouverture d'une iframe ou d'une popup et récupérer ces informations. Comme cet ID utilisateur est un identifiant, il peut potentiellement être utilisé pour récupérer les détails de la personne, comme la photo de son profil, par exemple.
Les analystes de FingerprintJS ont créé un site de démonstration (safarileaks.com) qui montre la fuite en action et fonctionne pour plus de 20 sites Web ouverts dans d'autres onglets et fenêtres du même profil. Si vous êtes connecté à votre compte Google dans la même instance, le site de démonstration révèle également votre ID utilisateur Google.
Malheureusement, il n'y a pas grand-chose que l'utilisateur final puisse faire pour le moment. Le blocage de tout le contenu JavaScript est une solution de rechange, mais cela nuit gravement à l'expérience de navigation. Si les utilisateurs de macOS peuvent utiliser un autre navigateur, comme Microsoft Edge ou Mozilla Firefox, ceux d'iOS n'ont pas cette possibilité, car même les navigateurs tiers sont censés utiliser Webkit.
Source(s)
