PC & Périphériques News

Un bogue Safari non corrigé peut divulguer l’historique de navigation et d’autres données d’identification


Pourquoi est-ce important: Des chercheurs ont découvert un bogue dans Safari 15 qui peut permettre à un site Web d’accéder à votre historique de navigation récent ainsi qu’à votre identifiant de compte Google et à votre avatar. Apple est conscient de la vulnérabilité et travaille sur un correctif depuis le dimanche 16 janvier. Au 18 janvier, les développeurs n’avaient pas publié de correctif.

La société de sécurité FingerprintJS dit que le bogue est en relation à l’API IndexedDB. Dans la plupart des navigateurs, un document de la base de données d’un domaine n’est pas accessible par un autre site Web. Cependant, l’implémentation de l’API dans Safari enfreint cette « politique de même origine« , ce qui pourrait donner à un site Web malveillant suffisamment d’informations pour identifier les utilisateurs de Safari.

FingerprintJS explique sa démonstration de preuve de concept (POC) dans une vidéo publiée le 14 janvier (ci-dessous). Il a également mis une copie en direct du POC sur le Web pour ceux qui sont curieux de le voir en action en temps réel.

Les chercheurs ont d’abord signalé la vulnérabilité (233548) au WebKit Bug Tracker le 28 novembre. Depuis ce week-end, les ingénieurs d’Apple ont marqué le rapport de bogue comme résolu, mais TechSpot peut confirmer que la dernière version de Safari reste non corrigée au 18 janvier.

FingerprintJS souligne que de mauvais acteurs pourraient utiliser cet exploit pour identifier les utilisateurs via une table de recherche. De plus, les bases de données authentifiées peuvent révéler l’identifiant unique et la photo de profil d’un utilisateur, identifiant davantage l’individu. Par exemple, la connexion à n’importe quel service Google, comme YouTube ou Gmail, authentifie l’utilisateur sur tous les services Google. Ainsi, toute plate-forme Google ouverte dans un nouvel onglet ou une nouvelle instance de navigateur révèle le site Web qui vient d’être visité, l’identifiant unique de l’utilisateur et l’avatar de l’utilisateur.

« Le Google User ID est un identifiant interne généré par Google », expliquent les chercheurs. « Il identifie de manière unique un seul compte Google. Il peut être utilisé avec les API Google pour récupérer des informations personnelles publiques sur le propriétaire du compte. Les informations exposées par ces API sont contrôlées par de nombreux facteurs. En général, au minimum, la photo de profil de l’utilisateur est généralement disponible. »

Jusqu’à ce qu’un correctif soit publié, les utilisateurs ne peuvent pas faire grand-chose pour atténuer cette vulnérabilité, à part ne pas utiliser Safari. Du bon côté, Apple marquant le problème « résolu » indique qu’un patch est imminent.



Source link

Quelle est votre réaction ?

Excité
0
Heureux
0
J'adore
0
Pas certain
0
ridicule
0

Vous aimerez aussi

Laisser une réponse

Votre adresse e-mail ne sera pas publiée.