Un bug de Safari divulgue des données de votre compte Google

Un grave bug de Safari divulgué par FingerprintJS peut révéler des informations sur votre historique de navigation récent, et même certaines informations sur le compte Google connecté.

Comme expliqué par FingerprintJS, IndexedDB respecte les politiques de même origine, qui empêche une origine d’interagir avec des données collectées sur d’autres origines. En gros, seul le site Web qui génère les données peut y accéder. Par exemple, si vous ouvrez votre compte de messagerie e-mail dans un onglet, puis ouvrez une page Web malveillante dans un autre, la politique de même origine empêche la page malveillante de voir et d’interférer avec votre courrier électronique.

En quoi consiste ce bug ? 

Un bug dans l’implémentation d’IndexedDB de Safari sur Mac et iOS signifie qu’un site web peut voir les noms des bases de données de n’importe quel domaine, pas seulement le sien. Les noms des bases de données peuvent alors être utilisés pour extraire des informations d’identification d’une table de consultation. FingerprintJS a constaté que l’application de l’API IndexedDB dans Safari 15 viole en fait la politique de même origine. 

Quels sont les impacts ? 

Cela signifie que d’autres sites Web peuvent voir le nom d’autres bases de données créées sur d’autres sites, qui pourraient contenir des détails spécifiques à votre identité. FingerprintJS note les sites qui utilisent votre compte Google, comme YouTube, Google Calendar et Google Keep, génèrent tous des bases de données avec votre ID utilisateur Google unique dans son nom. Votre ID utilisateur Google permet à Google d’accéder à vos informations accessibles au public, telles que votre photo de profil, que le bug Safari peut exposer à d’autres sites Web.

Par exemple, les services Google stockent une instance IndexedDB pour chacun de vos comptes connectés, le nom de la base de données correspondant à votre ID utilisateur Google.

Faites le test vous-même 

FingerprintJS créé une démonstration de preuve de concept, vous pouvez essayer si vous avez Safari 15 et supérieur sur votre Mac, iPhone ou iPad. La démo utilise la vulnérabilité IndexedDB du navigateur pour identifier les sites que vous avez ouverts (ou ouverts récemment) et montre comment le bug récupère les informations de votre ID utilisateur Google. Il ne détecte actuellement que 30 sites populaires affectés par le bug, tels que Instagram, Netflix, Twitter, Xbox, mais il en affecte probablement beaucoup plus.

Toutes les versions actuelles de Safari sur iPhone, iPad et Mac sont exploitables. FingerprintJS a mis Apple au courant du bug le 28 novembre. Mais aucun correctif jusqu’à présent.

_
Suivez Belgium-iphone sur Facebook, Youtube et Instagram pour ne rien rater de l'actu, des tests et bons plans.