Un bug de Safari peut révéler l'identité et l'historique de l'utilisateur


La version 15 de Safari présente un bug susceptible de révéler des informations personnelles de ses utilisateurs à un site malveillant. Le développeur de FingerprintJS, Martin Bajanik, a révélé la faille qui touche IndexedDB. Cette API permet à chaque site web de stocker une base de données locale sur le navigateur. Normalement, tout est bien cloisonné et les sites web ouverts ne peuvent accéder qu'à la base de données correspondant à leur propre onglet. Safari 15 crée cependant par erreur une copie vide de chaque nouvelle base de données pour tous les autres onglets, qui n'accèdent à aucun contenu mais peuvent tout de même savoir quels sont les sites visités.




Pire, la faille peut donc certains cas permettre d'obtenir l'identité de l'utilisateur. C'est notamment le cas lorsque celui-ci utilise certains services de Google qui intègrent l'identifiant de l'utilisateur au nom de la base de données : ce n'est alors qu'un jeu d'enfant pour récupérer la photo de profil via l'API de Google et mettre en place une arnaque de hameçonnage.

Une démonstration assez édifiante du problème a été mise en ligne sur safarileaks.com. Il est possible de reproduire le problème sur n'importe quelle sous-version de Safari 15 sur Mac mais également sur iOS. Sur l'iPhone et l'iPad, les autres navigateurs qui sont obligés d'utiliser le moteur de Safari sont d'ailleurs également touchés. Apple a vraisemblablement été mise au courant du bug à la fin du mois de novembre, sans réaction pour le moment. La médiatisation de l'affaire pourrait précipiter l'arrivée d'un correctif...

Mise à jour 26 janvier 2022 à 19:24 :
La faille de Safari est corrigée avec macOS 12.2 et iOS 15.3, sortis le 26 janvier.
Des liens n'apparaissent pas ? Des images sont manquantes ? Votre bloqueur de pub vous joue des tours.
Pour visualiser tout notre contenu, merci de désactiver votre bloqueur de pub !

Partager

Sur le même sujet

Vos réactions (3)

Loulou

17 janvier 2022 à 17:55

est-il possible de rétrograder la version de Safari sur Mac ?

MangezDesPommes

17 janvier 2022 à 18:24

Sur MacOS le contournement est rapide par contre sur iOS c'est une catastrophe. bravo pour la réactivité Apple...

Adavo

17 janvier 2022 à 19:53

@MangezDesPommes : bien vu
C'est chaud comme faille, j'ai pas regardé en détail mais si ça permet (et aussi facilement) de faire ce que l'article décrit, c'est vraiment critique...

Réagir
Vous devez être connecté à notre forum pour pouvoir poster un commentaire.

Plus loin Connexion
Plus loin Inscription