Bug in Safari 15 permette il tracciamento delle attività dell’utente
Categoriessicurezza
E’ stato individuato un bug nella versione 15 di Safari che può consentire a malintenzionati di tracciare l’attività di navigazione e venire a conoscenza di alcune informazioni legate all’account Google. Il comportamento anomalo è stato individuato da FingerpintJS, servizio di browser fingerprinting.
Scendendo nel dettaglio tecnico il problema è imputabile all’implementazione fatta da Apple di IndexDB, un’API che memorizza i dati sul browser. IndexDB segue un principio che va sotto il nome di “same-origin policy”. Questo meccanismo impedisce ad un’origine di interagire con i dati raccolti su altre origini e cioè, in altri termini, solo il sito web che genera i suoi dati può accedere ad essi.
Per fare un esempio concreto, se si sta consultando la propria webmail in un tab del browser, e si aprisse inavvertitamente una pagina web compromessa in un altro tab, la same-origin policy impedisce alla pagina compromessa di poter accedere ai dati e all’attività dell’altro tab e quindi di raccogliere informazioni relative a mail, rubrica dei contatti e quant’altro.
FingerprintJS ha però scoperto che l’implementazione di IndexDB fatta da Apple in Safari 15 va a violare la same origin policy e quando un sito web in Safari interagisce con un database, un nuovo database vuoto viene creato in tutti gli altri frame, schede e finestre attivi all’interno della stessa sessione del browser. In forma concreta, ciò significa che altri siti web posso visualizzare il nome di database creati su altri siti i quali potrebbero contenere dettagli specifici dell’identità dell’utente.
Secondo FingerprintJS i siti che utilizzano l’account di Google generano tutti database con l’ID utente Google univoco nel nome. L’ID utente è ciò che permette a Google di accedere alle informazioni pubblicamente disponibili e che il bug di Safari può in questo modo esporre ad altri siti web. La società ha realizzato anche un proof-of-concept che dimostra il funzionamento del bug e può essere provato su Safari 15 o successive su Mac, iPhone e iPad.
Attualmente non esiste molto che si possa fare per mitigare il problema e, secondo quanto affermato da FingerprintJS, il bug pare interessare anche la modalità di navigazione privata di Safari. L’unica strada è quella di usare browser alternativi, anche se su iOS ciò è impossibile in quanto qualsiasi browser web non può utilizzare un engine diverso da quello di Safari. Il bug è stato già comunicato lo scorso 28 novembre tramite WebKit Bug Tracker, ma da allora non sono stati rilasciati nuovi aggiornamenti per Safari.