Un compromettente bug di Safari potrebbe far trapelare i dati di navigazione degli utenti e le informazioni annesse agli account Google.
Safari, un bug potrebbe far trapelare i dati di navigazione e le informazioni dell’account Google
Un bug scoperto in Safari 15 potrebbe far trapelare informazioni sui siti che vengono visitati online. Peggio ancora, potrebbe esporre il proprio ID Google personale e le informazioni del profilo.
Come riportato da 9to5 Mac, il bug è stato scoperto alla fine di novembre da FingerprintJS, una società con sede a Chicago specializzata nella prevenzione delle frodi online. Secondo un annuncio pubblicato nella giornata di venerdì 14 gennaio, il problema deriva da un sistema che Safari 15 e tutti gli altri principali browser web utilizzano per memorizzare nella cache le informazioni di navigazione su telefono, tablet o computer.
Si chiama IndexedDB ed è molto utilizzato dai siti web complessi di oggi. Normalmente, le informazioni memorizzate in IndexedDB sono accessibili solo da una pagina web dello stesso dominio che le ha create. Se Google lo crea, per esempio, le informazioni memorizzate nella cache possono essere accessibili solo da un’altra pagina web di Google.
Questa politica “same-origin” è progettata per proteggere da siti dannosi che possono tentare di rubare informazioni dal browser.
Quello che FingerprintJS ha scoperto è che l’attuale versione di WebKit, il motore del browser che alimenta Safari sui Mac così come tutti i browser su iOS e iPadOS, potrebbe essere ingannato per saltare il controllo same-origin.
A questo proposito, Fingerprint JS ha spiegato che questo bug che “permette ai siti web arbitrari di imparare quali siti vengono visitati in diverse schede o finestre”.
Inoltre, “alcuni siti web utilizzano identificatori unici specifici dell’utentenei nomi dei database il che significa che gli utenti autenticati possono essere identificati in modo univoco e preciso”.
Suggerimenti di FingerprintJS e risoluzione del bug
Per dimostrare il bug, FingerprintJS ha costruito un sito web su safarileaks.com. Bisogna collegarsi usando l’ultima versione di Safari (o un altro browser Webkit-powered su iPhone o iPad) e sarà possibile verificare quali tipologie di informazioni IndexedDB trapelano.
Si potrebbe anche vedere la propria foto del profilo di Google, che può essere cercata utilizzando un ID collegato alle cache IndexedDB di alcuni siti.
Bug: SquashedFingerprintJS ha presentato questo problema al WebKit bug tracker il 28 novembre. Nella giornata di lunedì 17 gennaio, poi, hanno aggiornato il loro post sul blog per annunciare che gli sviluppatori Apple hanno codificato una correzione e segnato che il problema è stato risolto.
Il cambiamento non avrà effetto immediato, tuttavia. Gli aggiornamenti richiedono tempo per essere distribuiti, e potrebbe passare un po’ di tempo prima che i dispositivi ricevano la correzione.
Per ora ci si può proteggere dal bug utilizzando un browser non-WebKit come Firefox sul Mac. Su un iPhone o iPad è possibile disabilitare temporaneamente Javascript, ma si andrà inevitabilmente incontro a controindicazioni.
