Ce bogue Safari pourrait divulguer votre historique de navigation récent

Il a été découvert qu’un bogue Safari 15 peut divulguer votre historique de navigation récent et même certaines informations des comptes Google connectés.

Un article de blog de FingerprintJS (via 9to5mac) a révélé qu’un énorme bogue dans Safari 15 peut en fait divulguer votre historique de navigation récent depuis l’application.

Toute personne ayant lié son compte Google à Safari pourrait également courir le risque que ses informations personnelles soient également révélées.

Cette vulnérabilité a été liée à un problème avec la façon dont Apple implémente IndexedDB, qui est une interface de programmation d’application (API) qui stocke des données sur votre navigateur.

Le bogue signifie qu’un site Web peut voir les noms des bases de données pour n’importe quel domaine sur Mac et iOS, pas seulement le leur. En utilisant les noms, les sites Web peuvent extraire des informations d’identification à partir d’une table de recherche.

Kaspersky Total Security – 50 % de réduction

Une protection totale en un seul produit

Obtenez un sentiment de sécurité inégalé avec une protection primée contre les pirates, les virus et les logiciels malveillants. De plus, des outils de protection des paiements et de confidentialité qui vous protègent sous tous les angles. Comprend, VPN gratuit, gestionnaire de mots de passe et Kaspersky Safe Kids. Maintenant 50 % de réduction à partir de seulement 19,99 £ par mois

• Kaspersky
• 50% de réduction
• 19,99 £ par mois

Voir l’offre

Par exemple, si vous deviez ouvrir votre e-mail sur une page Web, puis ouvrir une autre page Web malveillante, l’application de l’API d’Apple signifie que le site Web malveillant peut afficher votre e-mail et récupérer votre ID utilisateur Google, qui peut être utilisé pour en savoir plus sur vous.

Habituellement, une politique appelée politique de même origine empêcherait que cela se produise, car elle empêche une origine d’interagir avec des données collectées ailleurs ; en d’autres termes, si vous deviez ouvrir votre e-mail puis un site Web malveillant, le site Web dangereux n’aurait aucun moyen d’accéder à votre e-mail ou aux autres pages Web avec lesquelles vous interagissez.

FingerprintsJS a également simulé une démonstration de preuve de concept, qui nous montre une table de recherche d’environ 30 noms de domaine qui incluent la vulnérabilité IndexedDB du navigateur, y compris Netflix, Twitter et Xbox. Vous pouvez utiliser le site si vous avez Safari sur n’importe quel appareil Apple pour voir tous les sites que vous avez ouverts récemment et voir comment le bogue peut accéder à vos informations.

Cependant, il a été souligné que la même technique pourrait être utilisée sur un plus grand nombre de noms de domaine, tout site Web utilisant l’API JavaScript IndexedDB étant désormais vulnérable au grattage des données.

Malheureusement, toutes les versions actuelles de Safari sur iOS et Mac ne sont pas protégées, Apple ne commentant actuellement pas le problème initialement signalé par FingerprintJS le 28 novembre.

Nous ne manquerons pas de vous tenir au courant de cette fuite dès que de plus amples informations seront publiées. Nous avons contacté Apple pour un commentaire, mais nous n’avions pas eu de réponse au moment de la rédaction de cet article.

Kaspersky Total Security – 50 % de réduction

Une protection totale en un seul produit

Obtenez un sentiment de sécurité inégalé avec une protection primée contre les pirates, les virus et les logiciels malveillants. De plus, des outils de protection des paiements et de confidentialité qui vous protègent sous tous les angles. Comprend, VPN gratuit, gestionnaire de mots de passe et Kaspersky Safe Kids. Maintenant 50 % de réduction à partir de seulement 19,99 £ par mois

• Kaspersky
• 50% de réduction
• 19,99 £ par mois

Voir l’offre