Un bogue dans Safari 15 peut divulguer votre activité de navigation et peut également révéler certaines des informations personnelles attachées à votre compte Google, selon résultats de FingerprintJS, un service d’empreinte digitale de navigateur et de détection de fraude (via 9to5Mac). La vulnérabilité provient d’un problème avec l’implémentation par Apple de IndexedDB, une interface de programmation d’application (API) qui stocke des données sur votre navigateur.

Comme expliqué par FingerprintJS, IndexedDB respecte les politique de même origine, qui empêche une origine d’interagir avec des données collectées sur d’autres origines. En gros, seul le site Web qui génère les données peut y accéder. Par exemple, si vous ouvrez votre compte de messagerie dans un onglet, puis ouvrez une page Web malveillante dans un autre, la politique de même origine empêche la page malveillante de voir et d’interférer avec votre courrier électronique.

FingerprintJS a constaté que l’application par Apple de l’API IndexedDB dans Safari 15 viole en fait la politique de même origine. Lorsqu’un site Web interagit avec une base de données dans Safari, FingerprintJS indique qu' »une nouvelle base de données (vide) portant le même nom est créée dans tous les autres cadres, onglets et fenêtres actifs au sein de la même session de navigateur ».

Cela signifie que d’autres sites Web peuvent voir le nom d’autres bases de données créées sur d’autres sites, qui pourraient contenir des détails spécifiques à votre identité. FingerprintJS note les sites qui utilisent votre compte Google, comme YouTube, Google Calendar et Google Keep, génèrent tous des bases de données avec votre ID utilisateur Google unique dans son nom. Votre ID utilisateur Google permet à Google d’accéder à vos informations accessibles au public, telles que votre photo de profil, que le bogue Safari peut exposer à d’autres sites Web.

FingerprintJS créé une démonstration de preuve de concept vous pouvez essayer si vous avez Safari 15 et supérieur sur votre Mac, iPhone ou iPad. La démo utilise la vulnérabilité IndexedDB du navigateur pour identifier les sites que vous avez ouverts (ou ouverts récemment) et montre comment le bogue récupère les informations de votre ID utilisateur Google. Il ne détecte actuellement que 30 sites populaires affectés par le bogue, tels que Instagram, Netflix, Twitter, Xbox, mais il en affecte probablement beaucoup plus.

Publicité

Malheureusement, vous ne pouvez pas faire grand-chose pour contourner le problème, car FingerprintJS indique que le bogue affecte également le mode de navigation privée sur Safari. Vous pouvez utiliser un autre navigateur sur macOS, mais Interdiction du moteur de navigateur tiers d’Apple sur iOS signifie que tous les navigateurs sont concernés. FingerprintJS a signalé la fuite au WebKit Bug Tracker le 28 novembre, mais il n’y a pas encore eu de mise à jour de Safari. Le bord a contacté Apple avec une demande de commentaire, mais n’a pas immédiatement répondu.


Rate this post
Publicité
Article précédentLa star de Demon Slayer Natsuki Hanae entre en quarantaine après la peur du COVID-19
Article suivantMeilleure carte mère pour processeur Intel ft. i9 9900k, i7 9700k, i5 9600k
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici