Notebookcheck Logo

Unpatched Safari 15 bug su macOS, iOS 15 e iPadOS 15 trovato per esporre la cronologia di navigazione e le informazioni dell'account Google

Safari su macOS e iOS 15 soffre di un grave bug di violazione della privacy. (Fonte: Apple)
Safari su macOS e iOS 15 soffre di un grave bug di violazione della privacy. (Fonte: Apple)
Esiste un importante bug in Safari 15 che può mettere a rischio la privacy degli utenti. Il bug IndexedDB API, che colpisce gli utenti di Safari su macOS, iOS 15 e iPadOS 15, viola la same-origin policy che impedisce ai siti web di accedere alle informazioni di altri siti che interagiscono anche con il database IndexedDB. Un sito web mal progettato può quindi ottenere l'accesso a informazioni come la cronologia di navigazione e identificatori come gli ID utente di Google.

Gli utenti di Safari su macOS e iOS possono essere vulnerabili a una grave violazione della privacy. Esiste un bug nell'implementazione di Safari 15 di IndexedDB, che consente a qualsiasi sito web di leggere le voci del database non solo del proprio ma anche di altri siti web. Pertanto, informazioni come le stringhe di ID utente di Google possono essere viste da terze parti non autorizzate, compromettendo potenzialmente la propria identità.

Tutti i browser utilizzano un IndexedDB o un database indicizzato per memorizzare quantità significative di dati sulla memoria del client per un rapido recupero. Ogni browser determina i propri limiti su quanto spazio allocare a IndexedDB e cancella automaticamente i dati quando questi limiti si avvicinano, in base a criteri definiti. IndexedDB è accessibile tramite un'API di basso livello, che di solito è astratta per un'API più adatta agli sviluppatori.

In Safari 15, l'API IndexedDB è vista violare la "same-origin policy". Si dice che due URL hanno la stessa origine se usano lo stesso protocollo, porta (se specificata) e host. Same-origin è un meccanismo di sicurezza critico che impedisce ai documenti o agli script di un'origine di interagire con dati o risorse di altre origini, a meno che non sia consentito tramite la condivisione di risorse cross-origin (CORS).

Secondo FingerprintJS, che per primo ha segnalato il problema a Apple il 28 novembre stesso, Safari 15 su macOS e tutti i browser su iOS 15 e iPadOS 15 creano un database vuoto con lo stesso nome per tutte le finestre e schede attive ogni volta che un sito web interagisce con IndexedDB. Questo significa che un sito web abilmente codificato da una diversa "origine" può essenzialmente raschiare ciò che l'utente sta visitando in qualsiasi scheda o finestra aperta, a meno che non venga utilizzato un profilo diverso. Quindi, anche le informazioni in finestre private non sono sicure.

Siti web come Google e i suoi servizi creano database che includono l'ID utente di Google per ogni account di accesso. Un sito web maligno può semplicemente innescare l'apertura di un iframe o popup e raschiare queste informazioni. Poiché questo ID utente è un identificatore, può essere potenzialmente utilizzato per recuperare i dettagli della persona come la foto del profilo, per esempio.

Gli analisti di FingerprintJS hanno creato un sito demo (safarileaks.com) che mostra la falla in azione e funziona per più di 20 siti web aperti in altre schede e finestre nello stesso profilo. Se siete collegati al vostro account Google nella stessa istanza, il sito demo rivelerà anche il vostro ID utente Google.

Purtroppo, non c'è molto che può essere fatto dall'utente finale al momento. Bloccare tutti i contenuti JavaScript è un workaround, ma questo ostacola gravemente l'esperienza di navigazione. Mentre gli utenti su macOS possono utilizzare un browser diverso come Microsoft Edge o Mozilla Firefox, quelli su iOS non hanno questa opzione, poiché anche i browser di terze parti devono utilizzare Webkit.

Acquista il Apple MacBook Pro con M1 Pro su Amazon

Please share our article, every link counts!
Mail Logo
> Recensioni e prove di notebook, tablets e smartphones > News > Newsarchive 2022 01 > Unpatched Safari 15 bug su macOS, iOS 15 e iPadOS 15 trovato per esporre la cronologia di navigazione e le informazioni dell'account Google
Vaidyanathan Subramaniam, 2022-01-18 (Update: 2024-08-15)