Un nouveau bogue dans Apple Safari peut divulguer votre historique de navigation
Un bogue dans le Pomme Le navigateur Web Safari permet aux sites Web d'accéder à l'historique de navigation des utilisateurs et à d'autres informations personnelles. Avec les récentes mises à jour pour iOS, Apple a corrigé de nombreux bogues et vulnérabilités. En nov. 2021, Apple a publié l'iOS 15.1 avec SharePlay et ProRes Video pour les modèles iPhone 13 Pro. Cependant, il a été signalé qu'il contenait deux vulnérabilités zero-day non corrigées, qui auraient été activement exploitées. De plus, la version publique de la mise à jour serait chargée de bogues, y compris des problèmes de connectivité avec AirPods Pro et Déverrouiller avec la fonction Apple Watch.
La récente mise à jour iOS 15.2.1 contient également un correctif pour un bogue HomeKit. Comme mentionné dans le synopsis du bogue dans le rapport de Spiniolas, changer le nom d'un appareil HomeKit en une chaîne contenant de nombreux caractères entraînera une perturbation de l'appareil, le rendant inutilisable. Cependant, depuis Apple a résolu le problème avec sa dernière mise à jour
Empreinte digitaleJS rapporte que Safari 15 sur macOS et tous les navigateurs sur iOS et iPadOS 15 sont vulnérables au bogue. L'API IndexedDB utilisée dans ces navigateurs Web n'adhère pas à la politique de même origine qui empêche les scripts ou les documents d'une origine d'accéder aux informations d'autres sources. En raison du bogue, chaque fois qu'un site Web interagit avec la base de données locale qui stocke des informations sur l'utilisateur et son activité de navigation, une base de données vide avec un nom similaire est créée pour tous les autres onglets et fenêtres actifs pendant la session. Accéder à ces "bases de données cross-origin dupliquées" un domaine peut obtenir des informations qui violent la vie privée des utilisateurs. En termes simples, le bogue permet aux sites Web d'accéder aux informations de navigation et à l'historique des utilisateurs liés à d'autres sites Web sur le Navigateur Web Apple Safari.
Le bogue peut également révéler l'identifiant Google des utilisateurs
Ceux qui utilisent des appareils Apple tels qu'un iPhone, un iPad ou un MacBook peuvent essayer la démonstration en direct de bogue ici. Cette démonstration affiche la violation de la politique de même origine IndexedDB dans le moteur de navigateur utilisé dans Safari, WebKit. La visite de la page de démonstration à partir d'un appareil macOS affichera le nombre de noms de bases de données (le nombre d'onglets actifs dans une session de navigation) et une liste de sites Web à partir de l'historique de navigation récent des utilisateurs. Malheureusement, ce n'est pas tout. Le bogue permet également aux sites Web malveillants d'accéder à l'identifiant Google qui peut être lié au navigateur, ce qui peut révéler l'identité de l'utilisateur et d'autres détails personnels. Visiter la page de démonstration à partir d'un Alimenté par Windows 10 ou Windows 11 l'ordinateur portable indique clairement "votre navigateur n'est pas affecté" et n'affiche aucun site Web ou autre détail.
Dans des recherches plus approfondies, FingerprintJS a découvert que plus de 30 sites Web parmi les 1000 sites Web les plus visités d'Alexa avaient accédé aux bases de données indexées sans le consentement des utilisateurs. De plus, le mode privé de Safari 15 semble également être affecté par le bogue. De plus, les utilisateurs ne peuvent pas faire grand-chose pour se protéger contre le bogue. Mettant à jour son rapport initial, FingerprintJS a également mentionné que les ingénieurs d'Apple avaient commencé à travailler sur le bogue le dimanche 29 janvier. 16, 2022. Cependant, le bogue est toujours présent sur Safari 15 pour macOS et tous navigateurs Web sur iOS et iPadOS 15, et il continuera à le faire en l'absence d'un correctif publié par Pomme.
La source: Empreinte digitaleJS, Fuites Safari
Comment activer le mode sombre de YouTube et pourquoi vous devriez