Pourquoi est-ce important: Des chercheurs ont découvert un bogue dans Safari 15 qui peut permettre à un site Web d’accéder à votre historique de navigation récent ainsi qu’à votre identifiant de compte Google et à votre avatar. Apple est conscient de la vulnérabilité et travaille sur un correctif depuis le dimanche 16 janvier. Au 18 janvier, les développeurs n’avaient pas publié de correctif.

La société de sécurité FingerprintJS dit que le bogue est en relation à l’API IndexedDB. Dans la plupart des navigateurs, un document de la base de données d’un domaine n’est pas accessible par un autre site Web. Cependant, l’implémentation de l’API dans Safari enfreint cette « politique de même origine« , ce qui pourrait donner à un site Web malveillant suffisamment d’informations pour identifier les utilisateurs de Safari.

FingerprintJS explique sa démonstration de preuve de concept (POC) dans une vidéo publiée le 14 janvier (ci-dessous). Il a également mis une copie en direct du POC sur le Web pour ceux qui sont curieux de le voir en action en temps réel.

Les chercheurs ont d’abord signalé la vulnérabilité (233548) au WebKit Bug Tracker le 28 novembre. Depuis ce week-end, les ingénieurs d’Apple ont marqué le rapport de bogue comme résolu, mais TechSpot peut confirmer que la dernière version de Safari reste non corrigée au 18 janvier.

Publicité
YouTube video

FingerprintJS souligne que de mauvais acteurs pourraient utiliser cet exploit pour identifier les utilisateurs via une table de recherche. De plus, les bases de données authentifiées peuvent révéler l’identifiant unique et la photo de profil d’un utilisateur, identifiant davantage l’individu. Par exemple, la connexion à n’importe quel service Google, comme YouTube ou Gmail, authentifie l’utilisateur sur tous les services Google. Ainsi, toute plate-forme Google ouverte dans un nouvel onglet ou une nouvelle instance de navigateur révèle le site Web qui vient d’être visité, l’identifiant unique de l’utilisateur et l’avatar de l’utilisateur.

« Le Google User ID est un identifiant interne généré par Google », expliquent les chercheurs. « Il identifie de manière unique un seul compte Google. Il peut être utilisé avec les API Google pour récupérer des informations personnelles publiques sur le propriétaire du compte. Les informations exposées par ces API sont contrôlées par de nombreux facteurs. En général, au minimum, la photo de profil de l’utilisateur est généralement disponible. »

Jusqu’à ce qu’un correctif soit publié, les utilisateurs ne peuvent pas faire grand-chose pour atténuer cette vulnérabilité, à part ne pas utiliser Safari. Du bon côté, Apple marquant le problème « résolu » indique qu’un correctif est imminent.

Rate this post
Publicité
Article précédentYui Makino interprète la chanson thème de l’anime La fille de l’autre côté – News 24
Article suivantla mêlée est-elle terminée ? – L’Athlétisme
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici