Un pericolosissimo bug di Safari consente ai siti dannosi di raccogliere la cronologia di navigazione e le informazioni sull’account Google.
Attenti al BUG di Safari che mostra la cronologia
Un bug in Safari, il browser di sistema proprietario di Apple, trovato dalla società di sicurezza FingerprintJS consente a qualsiasi sito Web di tenere traccia della cronologia di navigazione e persino di alcune informazioni relative all’account Google connesso.
È presente nell’implementazione IndexedDB su Mac e iOS e permette ai siti Web di vedere i nomi dei database per qualsiasi dominio e non solo per il proprio. Per chi non lo sapesse, IndexedDB è un’API Javascript che, secondo il rapporto, contiene “una quantità significativa di dati“.
Questi nomi di database possono quindi essere utilizzati per estrarre informazioni di identificazione da una tabella di ricerca. I servizi Google, ad esempio, archiviano un’istanza IndexedDB per ciascuno dei vostri account di accesso; è possibile accedervi da siti dannosi per portare alla luce altre informazioni personali, come l’immagine del profilo dell’account Google e molto altro ancora.
Mentre la demo proof-of-concept di FingerprintJS mantiene solo un indice di circa 30 siti, c’è una buona possibilità che l’exploit venga applicato a un set molto più ampio. Quasi tutti i siti che utilizzano l’API JavaScript IndexedDB potrebbero essere vulnerabili a tale “scraping” di dati.
Sfortunatamente, non c’è molto da fare da parte dell’utente per correggere il bug in questione oltre a bloccare completamente Javascript su siti non attendibili, e questo non è troppo fattibile.
L’unica soluzione adeguata può ovviamente essere applicata solo da Apple. Intanto, browser rivali come Chrome consentono ai siti Web di accedere solo ai database su IndexedDB creati con lo stesso nome di dominio del loro, ed è ora che Apple faccia lo stesso con Safari.
FingerprintJS afferma di aver già segnalato il bug ad Apple il 28 novembre, ma al momento non esiste ancora una soluzione. Vi invitiamo ad utilizzare sistemi alternativi.