Safari 15 presenta, attualmente, un bug che può far trapelare le attività di navigazione recenti e i dati di navigazione dell’utente. A evidenziare il tutto, indicando come agisce il bug e le conseguenze, sono stati i risultati del servizio di fingerprinting e di rilevamento frodi FingerprintJS (segnalando il problema già lo scorso 28 novembre). Il bug Safari 15, in sostanza, agisce facendo trapelare le informazioni relative all’attività di navigazione e alcune delle informazioni personali collegate agli account Google, in particolare l’ID utente Google. Tramite questo dato Google riesce ad accedere alle informazioni pubblicamente disponibili (ad esempio la foto profilo) e il bug agisce esponendo l’ID utente ad altri siti web.
LEGGI ANCHE >>> Cosa sta succedendo ai dati SIAE al centro di una fuga a ottobre
Come ha spiegato 9to5Mac – portale che si occupa a 360° dei prodotti Apple, delle notizie e dei rumours telativi al brand – la causa della vulnerabilità in questione va ricercata in un problema di implementazione di IndexedDB di Apple. Si tratta di un’interfaccia di programmazione delle applicazioni (API) che va a memorizzare i dati degli utenti sul browser. IndexedDB rispetta la same-origin policy, che impedisce l’interazione di altri siti con i dati raccolti da un sito. In parole povere, solo il sito web che genera il dato può accedervi.
Cosa comporta questo meccanismo? Che se apri il tuo account di poste elettronica in una pagina e un sito dannoso nell’altra, la pagina dannosa non dovrebbe riuscire a visualizzare nulla di tutto quello che riguarda il tuo account e non dovrebbe in alcun modo riuscire ad interferire con esso. Secondo quanto rilevato da FingerprintJS, l’app di Apple dell’API IndexedDB va, in Safari 15, a violare questa same-origin policy. Così facendo, altri siti web possono accedere alle pagine aperte andando a carpire, qualora vi fossero contenuti, dati specifici relativi all’identità dell’utente. Tutti i siti che utilizzano l’account Google – Google Calendar, Google Keep, Youtube – generano database che hanno l’ID Google nel nome.
FingerprintJS ha provveduto a creare una demo proof-of-concept. Chiunque utilizzi Safari 15 o un browser superiore può utilizzarla su Mac, iPhone o iPad. La vulnerabilità viene utilizzata per andare a identificare i siti aperti in quel momento o aperti di recente. Emerge così come i siti che sfruttano quel bug possono fare data scraping dall’ID utente di Google. Tra i siti colpiti dal bug sono stati rilevati, per ora, Instagram, Netflix, Twitter e Xbox ma – con tutta probabilità – la lista è ben più lunga. Non c’è modo di aggirare il bug poiché, come sottolineato da FingerprintJS, il bug è presente anche per la modalità navigazione in incognito.