Un bogue découvert dans Safari 15 pourrait être une fuite d’informations sur les sites que vous visitez en ligne. Pire encore, cela pourrait exposer votre identifiant Google unique et vos informations de profil.
Comme signalé par 9to5Mac, le bogue a été découvert pour la première fois fin novembre par FingerprintJS, une entreprise basée à Chicago spécialisée dans la prévention de la fraude en ligne. Selon une annonce publiée vendredi le problème provient d’un système utilisé par Safari 15 et tous les autres principaux navigateurs Web pour mettre en cache les informations de navigation sur votre téléphone, votre tablette ou votre ordinateur.
Il s’appelle IndexedDB et il s’appuie fortement sur les sites Web complexes d’aujourd’hui. Normalement, les informations stockées dans le stockage IndexedDB ne sont accessibles que par une page Web du même domaine qui l’a créée. Si Google le crée, par exemple, les informations qui y sont mises en cache ne sont accessibles que par une autre page Web de Google.
Cette politique de « même origine » est conçue pour vous protéger contre les sites malveillants qui pourraient tenter de voler des informations de votre navigateur.
Ce que FingerprintJS a découvert, c’est que la version actuelle de WebKit, le moteur de navigateur qui alimente Safari sur Mac ainsi que tous les navigateurs sur iOS et iPadOS, pourrait être amené à ignorer la vérification de la même origine.
Qu’est-ce qu’il y a de mal à ça ? Fingerprint JS dit qu' »il permet à des sites Web arbitraires d’apprendre quels sites Web [you visit] dans différents onglets ou fenêtres. » En outre, « [some] les sites Web utilisent des identifiants uniques spécifiques à l’utilisateur dans les noms de base de données [which] signifie que les utilisateurs authentifiés peuvent être identifiés de manière unique et précise.
Pour démontrer le bogue, FingerprintJS a créé un site Web à safarileaks.com. Continuez à utiliser la dernière version de Safari (ou un autre navigateur alimenté par Webkit sur votre iPhone ou iPad) et vous verrez quel type d’informations IndexedDB fuit.
Vous pouvez même voir votre photo de profil Google, qui peut être recherchée à l’aide d’un identifiant attaché aux caches IndexedDB de certains sites.
Punaise: ÉcraséFingerprintJS a soumis ce problème au traqueur de bogues WebKit le 28 novembre. Aujourd’hui, ils ont mis à jour leur article de blog pour annoncer que les développeurs Apple avaient codé un correctif et marqué le problème résolu.
Le changement ne prendra cependant pas effet immédiatement. Les mises à jour prennent du temps à se déployer et il peut s’écouler un certain temps avant que vos appareils ne reçoivent le correctif.
Pour l’instant, vous pouvez vous protéger en utilisant un navigateur non WebKit comme Firefox sur votre Mac. Sur un iPhone ou un iPad, vous pouvez désactiver temporairement Javascript, mais attendez-vous à ce que de nombreuses fonctionnalités sur de nombreux sites Web se cassent si vous le faites.