Un bogue Safari sérieux divulgué dans ce billet de blog de FingerprintJS peut divulguer des informations sur votre historique de navigation récent et même certaines informations sur le compte Google connecté.

Un bogue dans l’implémentation IndexedDB de Safari sur Mac et iOS signifie qu’un site Web peut voir les noms des bases de données pour n’importe quel domaine, pas seulement le sien. Les noms de base de données peuvent ensuite être utilisés pour extraire des informations d’identification d’une table de consultation. Vous pouvez l’essayer par vous-même avec cette démo en direct.

Par exemple, les services Google stockent une instance IndexedDB pour chacun de vos comptes connectés, avec le nom de la base de données correspondant à votre ID utilisateur Google.

En utilisant l’exploit décrit dans le billet de blog, un site malveillant pourrait récupérer votre identifiant d’utilisateur Google, puis utiliser cet identifiant pour découvrir d’autres informations personnelles vous concernant, car l’identifiant est utilisé pour faire des demandes d’API aux services Google. Dans la démonstration de preuve de concept, la photo de profil de l’utilisateur s’affiche.

La preuve de concept ne conserve qu’une table de recherche d’environ 30 noms de domaine, mais il n’y a aucune raison pour que la technique ne puisse pas être appliquée à un ensemble beaucoup plus vaste. Presque tous les sites Web qui utilisent l’API JavaScript IndexedDB pourraient être vulnérables à un tel grattage de données.

Publicité

Le bogue est simplement que les noms de toutes les bases de données IndexedDB sont disponibles pour n’importe quel site ; l’accès au contenu réel de chaque base de données est restreint. Le correctif – et le comportement correct observé sur d’autres navigateurs comme Chrome – serait qu’un site Web ne peut voir que les bases de données créées par le même nom de domaine que le sien.

Toutes les versions actuelles de Safari sur iPhone, iPad et Mac sont exploitables. FingerprintJS dit avoir signalé le bogue à Apple le 28 novembre, mais il n’a pas encore été résolu.

FTC : Nous utilisons des liens d’affiliation automatique générateurs de revenus. Suite.


Découvrez 9to5Mac sur YouTube pour plus d’actualités Apple :

YouTube video
Rate this post
Publicité
Article précédentMy View : Photographier des enfants dans un monde de smartphone | Avis
Article suivantL’attaque des Titans lance l’épisode 79 Poster
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici