Un bug di Safari rivela la cronologia di navigazione e le informazioni sull'account Google degli utenti

Un bug software in Safari 15 di Apple può consentire a qualsiasi sito web di ottenere la tua recente attività su internet e persino alcune informazioni sull’account Google, oltre a rivelare la tua identità.

Secondo un post sul blog di FingerprintJS, un servizio di fingerprinting del browser e rilevamento delle frodi, il bug è stato introdotto nell’implementazione dell’API IndexedDB di Safari 15, che fa parte del motore di sviluppo del browser web WebKit di Apple.

Per chi non lo sapesse, IndexedDB è un’API del browser per lo storage lato client progettata per contenere quantità significative di dati, supportata in tutti i principali browser e molto comunemente utilizzata.

Come la maggior parte delle tecnologie moderne dei browser web, IndexedDB segue la policy same-origin, che è un meccanismo di sicurezza fondamentale che limita il modo in cui documenti o script caricati da un’origine possono interagire con risorse provenienti da altre origini. I database indicizzati sono associati a un’origine specifica.

“Documenti o script associati a origini diverse non dovrebbero mai avere la possibilità di interagire con database associati ad altre origini,” afferma il blog.

In Safari 15 su macOS, e in tutti i browser su iOS e iPadOS 15, l’API IndexedDB sta violando la policy same-origin. Quando un sito web interagisce con un database in Safari, FingerprintJS afferma che viene creato un nuovo database (vuoto) con lo stesso nome in tutti gli altri frame, schede e finestre attive all’interno della stessa sessione del browser.

Il fatto che i nomi dei database trapelino tra origini diverse è una chiara violazione della privacy. Consente a siti web arbitrari di scoprire quali siti visita l’utente in diverse schede o finestre. Questo è possibile perché i nomi dei database sono tipicamente unici e specifici per il sito web.

Inoltre, FingerprintJS ha osservato che in alcuni casi, i siti web utilizzano identificatori unici specifici per l’utente nei nomi dei database. Ciò significa che gli utenti autenticati possono essere identificati in modo unico e preciso.

Alcuni esempi popolari sarebbero YouTube, Google Calendar o Google Keep. Tutti questi siti web creano database che includono l’ID utente Google autenticato e nel caso in cui l’utente sia connesso a più account, vengono creati database per tutti questi account.

L’ID utente Google è un identificatore interno generato da Google. Identifica un singolo account Google, che può essere utilizzato con le API di Google per recuperare informazioni personali pubbliche del proprietario dell’account.

“Non solo ciò implica che siti web non affidabili o malevoli possono scoprire l’identità di un utente, ma consente anche di collegare insieme più account separati utilizzati dallo stesso utente,” ha scritto FingerprintJS.

Nota che queste perdite non richiedono alcuna azione specifica da parte dell’utente. Una scheda o finestra che funziona in background e interroga continuamente l’API IndexedDB per i database disponibili, può scoprire quali altri siti web visita un utente in tempo reale. In alternativa, i siti web possono aprire qualsiasi sito web in un iframe o in una finestra popup per attivare una perdita basata su IndexedDB per quel sito specifico.

FingerprintJS ha creato una pagina demo che mostra come un sito web può scoprire l’identità dell’account Google di qualsiasi visitatore. La demo è disponibile su safarileaks.com. Puoi provarla se hai Safari 15 e versioni successive sul tuo Mac, iPhone o iPad. Attualmente, la demo rileva solo la presenza di oltre 20 siti web in altre schede o finestre del browser, tra cui Google Calendar, Youtube, Twitter e Bloomberg.

FingerprintJS ha dichiarato di aver segnalato il bug di Safari al WebKit Bug Tracker il 28 novembre 2021 come bug 233548; tuttavia, Apple non ha ancora risolto il problema.

Fino ad allora, l’unica soluzione potrebbe essere quella di bloccare tutto JavaScript per impostazione predefinita e consentirlo solo sui siti che sono considerati affidabili. Un’altra alternativa per gli utenti di Safari su Mac è quella di passare temporaneamente a un browser diverso. Sfortunatamente, su iOS e iPadOS questa non è un’opzione poiché tutti i browser sono interessati.