Bug in Safari 15 permette il tracciamento delle attività dell'utente

Bug in Safari 15 permette il tracciamento delle attività dell'utente

Un'implementazione non corretta di un'API consente a tab diversi di poter visionare informazioni e dati di altri tab

di pubblicata il , alle 10:11 nel canale Sicurezza
Safari
 

E' stato individuato un bug nella versione 15 di Safari che può consentire a malintenzionati di tracciare l'attività di navigazione e venire a conoscenza di alcune informazioni legate all'account Google. Il comportamento anomalo è stato individuato da FingerpintJS, servizio di browser fingerprinting.

Scendendo nel dettaglio tecnico il problema è imputabile all'implementazione fatta da Apple di IndexDB, un'API che memorizza i dati sul browser. IndexDB segue un principio che va sotto il nome di "same-origin policy". Questo meccanismo impedisce ad un'origine di interagire con i dati raccolti su altre origini e cioè, in altri termini, solo il sito web che genera i suoi dati può accedere ad essi.

Per fare un esempio concreto, se si sta consultando la propria webmail in un tab del browser, e si aprisse inavvertitamente una pagina web compromessa in un altro tab, la same-origin policy impedisce alla pagina compromessa di poter accedere ai dati e all'attività dell'altro tab e quindi di raccogliere informazioni relative a mail, rubrica dei contatti e quant'altro.

FingerprintJS ha però scoperto che l'implementazione di IndexDB fatta da Apple in Safari 15 va a violare la same origin policy e quando un sito web in Safari interagisce con un database, un nuovo database vuoto viene creato in tutti gli altri frame, schede e finestre attivi all'interno della stessa sessione del browser. In forma concreta, ciò significa che altri siti web posso visualizzare il nome di database creati su altri siti i quali potrebbero contenere dettagli specifici dell'identità dell'utente.

Secondo FingerprintJS i siti che utilizzano l'account di Google generano tutti database con l'ID utente Google univoco nel nome. L'ID utente è ciò che permette a Google di accedere alle informazioni pubblicamente disponibili e che il bug di Safari può in questo modo esporre ad altri siti web. La società ha realizzato anche un proof-of-concept che dimostra il funzionamento del bug e può essere provato su Safari 15 o successive su Mac, iPhone e iPad.

Attualmente non esiste molto che si possa fare per mitigare il problema e, secondo quanto affermato da FingerprintJS, il bug pare interessare anche la modalità di navigazione privata di Safari. L'unica strada è quella di usare browser alternativi, anche se su iOS ciò è impossibile in quanto qualsiasi browser web non può utilizzare un engine diverso da quello di Safari.  Il bug è stato già comunicato lo scorso 28 novembre tramite WebKit Bug Tracker, ma da allora non sono stati rilasciati nuovi aggiornamenti per Safari.

2 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
frankie17 Gennaio 2022, 12:47 #1
Non mi sembra un bug di poco conto.
Chiedo per un amico che usa windows.
yeppala17 Gennaio 2022, 14:27 #2
La colpa è anche di Google che salva quegli identificatori che identificano univocamente l'utente, consentendo così il suo spionaggio.
Ecco il perchè è buona norma non avere app di Google o roba agganciata ad account Google sul telefono, perchè sono tracciabilissime

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^