Un grave bug di Safari divulgato in questo post del blog da FingerprintJS può rivelare informazioni sulla cronologia di navigazione recente e persino alcune informazioni sull’account Google connesso.
Un bug nell’implementazione IndexedDB di Safari su Mac e iOS significa che un sito Web può vedere i nomi dei database per qualsiasi dominio, non solo il proprio. I nomi del database possono quindi essere utilizzati per estrarre informazioni di identificazione da una tabella di ricerca. Puoi provarlo tu stesso con questa demo dal vivo .
Ad esempio, i servizi di Google memorizzano un’istanza IndexedDB per ciascuno dei tuoi account di accesso, con il nome del database corrispondente al tuo ID utente di Google.
Utilizzando l’exploit descritto nel post del blog, un sito nefasto potrebbe raschiare il tuo ID utente di Google e quindi utilizzare quell’ID per scoprire altre informazioni personali su di te, poiché l’ID viene utilizzato per effettuare richieste API ai servizi di Google. Nella demo proof-of-concept , viene rivelata l’immagine del profilo dell’utente.
Il proof-of-concept mantiene solo una tabella di ricerca di circa 30 nomi di dominio, tuttavia non c’è motivo per cui la tecnica non possa essere applicata a un insieme molto più ampio. Quasi tutti i siti Web che utilizzano l’API JavaScript IndexedDB potrebbero essere vulnerabili a tale scraping di dati.
Il bug è semplicemente che i nomi di tutti i database IndexedDB sono disponibili per qualsiasi sito; l’accesso al contenuto effettivo di ciascun database è limitato. La soluzione – e il comportamento corretto osservato su altri browser come Chrome – sarebbe che un sito Web può vedere solo i database creati con lo stesso nome di dominio del proprio.
Tutte le versioni attuali di Safari su iPhone, iPad e Mac sono sfruttabili. FingerprintJS afferma di aver segnalato il bug ad Apple il 28 novembre, ma non è stato ancora risolto.
