Il browser Safari di Apple sta perdendo dati personali sensibili

Lo scorso autunno, Safari ha ricevuto il suo ultimo importante aggiornamento sotto forma di Safari 15, seguito poco dopo da Safari 15.1 un mese dopo. Tuttavia, non sembra che l’aggiornamento sia andato esattamente secondo i piani sul fronte della sicurezza. Secondo un recente rapporto di Impronte digitali L’aggiornamento contiene un grave problema di sicurezza, in cui le informazioni sull’utente potrebbero essere trapelate e utilizzate da soggetti malintenzionati.

Questa particolare falla nella sicurezza è stata segnalata di recente nel novembre dello scorso anno da Webkit Bug Tracker, ma Apple non ha ancora intrapreso alcuna azione. Il problema deriva da un’implementazione apparentemente non riuscita di Indexeddb, il cui scopo è memorizzare le informazioni localmente nel browser. In casi normali, il browser con questo indice funziona dopo la cosiddetta estensione stessa origine-Politica. Lo scopo di questa politica è isolare ogni singola scheda, poiché una scheda non dovrebbe avere accesso alle informazioni gestite in altre schede. Nel caso di Safari 15, questa politica viene ignorata, consentendo alle schede di interagire tra loro all’insaputa dell’utente.

In pratica, ciò significa che un sito Web può, ad esempio, distinguere dati da altri siti Web memorizzati, che potrebbero rivelare l’identità dell’utente. Fingerprintjs afferma che se un sito Web utilizza i servizi di Google, come un account Google, YouTube o Google Calendar, l’ID utente di tali servizi potrebbe essere recuperato. Attraverso l’ID utente, le immagini del profilo e altre informazioni pubbliche che identificano l’utente possono quindi essere pubblicate tra le schede.

Al momento in cui scrivo, non c’è molto che l’utente finale possa fare al riguardo, a parte cambiare browser fino a quando il problema non viene risolto. Tuttavia, può essere un problema a seconda del dispositivo utilizzato. Questo perché Apple ha scelto di bloccare i motori browser di terze parti nei suoi telefoni, lasciando gli utenti iOS vulnerabili indipendentemente dal browser utilizzato.

Ho raccolto un’impronta digitale sito dimostrativo che può essere visitato. Questo mostra se il browser è vulnerabile a questo tipo di perdita e un elenco di siti che possono utilizzare direttamente questo exploit. L’elenco include grandi nomi come Slack, Bloomberg, Dropbox e Xbox. Inoltre, anche Fingerprinjs ne ha uno video Dove affrontano il problema, spiega come funziona l’exploit e come è possibile utilizzare il sito Web di prova per identificare eventuali perdite.

Hai aggiornato all’ultima versione di Safari e ti interessano le informazioni gestite dal sito Web? Sentiti libero di discutere l’argomento!