Aggiornamento (20-2022-01-19):
Apple sta lavorando a una soluzione
Le modifiche a Webkit sono emerse per risolvere un grave difetto di sicurezza nell’implementazione del DB indicizzato API javascript di Apple su Github, riferisce Macrumors.
La correzione è in una funzione che elenca i database disponibili e riguarda solo l’elenco dei database la cui origine (sito Web) è la stessa del sito Web che esegue la funzione. Se example.com desidera elencare tutti i database disponibili, risponderà solo ai database creati da example.com e non, ad esempio, a google.com o netflix.com.
Come sottolinea Macrumors, Apple non può solo rilasciare un aggiornamento per Webkit, ma dovremo attendere gli aggiornamenti di iOS, Ipad OS e Mac OS.
Possiamo anche aggiungere che Fingerprint JS, che ha rilevato l’errore, ha confermato che non interessa le versioni di sistema precedenti come iOS 14.
In precedenza:
È stato rilevato un bug in Safari 15 che può far trapelare alcune attività nel browser, oltre a rendere visibili ad altri alcune informazioni personali associate al tuo account Google, cosa che Fingerprint JS ha notato. Tra le altre cose, i siti visitati possono diventare visibili a persone non autorizzate.
Il problema è come Safari per Mac e iOS implementa il database indicizzato, un’API che salva i dati nel browser.
Apple avrebbe dovuto essere a conoscenza del problema dalla fine di novembre, ma non ha ancora fatto nulla al riguardo. Questo nonostante rappresenti una grave mancanza di integrità.
perdita
Quando si accede a un sito Web che utilizza un database locale in una nuova scheda, viene creato un nuovo database vuoto con lo stesso nome in tutte le altre schede e finestre (tranne quelle private).
La maggior parte dei siti che utilizzano questi database assegna al database un nome che indica dove si trova. Il risultato è che tutti gli altri siti aperti possono in teoria vedere il sito appena aperto. Quando si chiude la scheda, questi database vengono eliminati, ma è troppo tardi.
peggio con google
Purtroppo non finisce qui. Alcuni siti Web utilizzano anche nomi univoci che possono essere associati a un utente specifico. Google è l’esempio più grande e peggiore qui. Google utilizza un identificatore utente interno come nome del database, il che significa che la pagina che è stata programmata per sfruttare il bug di Safari sta rilevando il codice identificativo interno per il tuo account Google.
Come se non bastasse, viene creato anche un database per ogni account Google a cui hai effettuato l’accesso. Se hai effettuato l’accesso, ad esempio, a un account privato e a un account funzionale, il sito di spionaggio li rileva entrambi e può salvare la connessione tra di loro.
I nostri consigli
Fino a quando Apple non risolverà l’errore, ti consigliamo di non accedere affatto a Google in Safari. Il bug è facile da sfruttare ed è garantito per essere utilizzato da sviluppatori senza scrupoli per creare database di ID Google univoci per gli utenti.
Infatti, gli utenti che tengono alla privacy possono fare del loro meglio per utilizzare solo le nuove finestre private per ogni pagina che visitano, oppure per il momento utilizzare un browser alternativo che prende sul serio la privacy, come Firefox o Brave.
qui Puoi leggere di più e persino avere una demo di prova che mostra come si è verificata la perdita (senza effettivamente spiare).
“Evangelista della musica. Fanatico del cibo malvagio. Ninja del web. Fan professionista dei social media. Maniaco dei viaggi sottilmente affascinante.”