Un bug de Safari fuit des informations sur l'historique de navigation et les comptes Google des utilisateurs

Un bug logiciel dans Safari 15 d’Apple peut permettre à n’importe quel site web d’obtenir votre historique internet récent et même certaines informations de compte Google, ainsi que de révéler votre identité.

Selon un article de blog de FingerprintJS, un service de détection de fraude et de fingerprinting de navigateur, le bug a été introduit dans l’implémentation de l’API IndexedDB de Safari 15, qui fait partie du moteur de développement de navigateur WebKit d’Apple.

Pour ceux qui ne le savent pas, IndexedDB est une API de navigateur pour le stockage côté client conçue pour contenir des quantités significatives de données, qui est supportée dans tous les principaux navigateurs et est très couramment utilisée.

Comme la plupart des technologies modernes de navigateur web, IndexedDB suit la politique de même origine, qui est un mécanisme de sécurité fondamental qui restreint la façon dont les documents ou scripts chargés d’une origine peuvent interagir avec des ressources d’autres origines. Les bases de données indexées sont associées à une origine spécifique.

“Les documents ou scripts associés à des origines différentes ne devraient jamais avoir la possibilité d’interagir avec des bases de données associées à d’autres origines,” indique le blog.

Dans Safari 15 sur macOS, et dans tous les navigateurs sur iOS et iPadOS 15, l’API IndexedDB viole la politique de même origine. Lorsqu’un site web interagit avec une base de données dans Safari, FingerprintJS indique qu’une nouvelle base de données (vide) avec le même nom est créée dans tous les autres cadres, onglets et fenêtres actifs au sein de la même session de navigateur.

Le fait que les noms de bases de données fuient à travers différentes origines constitue une violation évidente de la vie privée. Cela permet à des sites web arbitraires d’apprendre quels sites le utilisateur visite dans différents onglets ou fenêtres. Cela est possible car les noms de bases de données sont généralement uniques et spécifiques au site web.

De plus, FingerprintJS a observé que dans certains cas, les sites web utilisent des identifiants uniques spécifiques à l’utilisateur dans les noms de bases de données. Cela signifie que les utilisateurs authentifiés peuvent être identifiés de manière unique et précise.

Quelques exemples populaires seraient YouTube, Google Calendar ou Google Keep. Tous ces sites web créent des bases de données qui incluent l’ID utilisateur Google authentifié et dans le cas où l’utilisateur est connecté à plusieurs comptes, des bases de données sont créées pour tous ces comptes.

L’ID utilisateur Google est un identifiant interne généré par Google. Il identifie de manière unique un seul compte Google, qui peut être utilisé avec les API Google pour récupérer des informations personnelles publiques du propriétaire du compte.

“Non seulement cela implique que des sites web non fiables ou malveillants peuvent apprendre l’identité d’un utilisateur, mais cela permet également de lier plusieurs comptes séparés utilisés par le même utilisateur,” a écrit FingerprintJS.

Notez que ces fuites ne nécessitent aucune action spécifique de l’utilisateur. Un onglet ou une fenêtre qui fonctionne en arrière-plan et interroge continuellement l’API IndexedDB pour les bases de données disponibles, peut apprendre quels autres sites un utilisateur visite en temps réel. Alternativement, les sites web peuvent ouvrir n’importe quel site web dans une iframe ou une fenêtre popup afin de déclencher une fuite basée sur IndexedDB pour ce site spécifique.

FingerprintJS a créé une page de démonstration qui montre comment un site web peut apprendre l’identité du compte Google de n’importe quel visiteur. La démonstration est disponible sur safarileaks.com. Vous pouvez l’essayer si vous avez Safari 15 et supérieur sur votre Mac, iPhone ou iPad. Actuellement, la démonstration ne détecte que la présence de 20+ sites web dans d’autres onglets ou fenêtres de navigateur, y compris Google Calendar, Youtube, Twitter et Bloomberg.

FingerprintJS a déclaré avoir signalé le bug de Safari au WebKit Bug Tracker le 28 novembre 2021 sous le numéro de bug 233548 ; cependant, Apple n’a pas encore corrigé le problème.

D’ici là, la seule solution peut être de bloquer tout JavaScript par défaut et de ne l’autoriser que sur les sites de confiance. Une autre alternative pour les utilisateurs de Safari sur Mac est de passer temporairement à un autre navigateur. Malheureusement, sur iOS et iPadOS, cela n’est pas une option car tous les navigateurs sont affectés.