C’è una nuova vulnerabilità che riguarda il browser Safari che rischia di rendere pubblica la cronologia e l’identità degli utenti iPhone, iPad e Mac. Ecco tutti i dettagli.

Cronologia e dati degli utenti accessibili per via di un bug di Safari

Svelato da FingerprintJS con un post sul suo blog, il bug è stato introdotto in Safari 15 tramite l’API relativa al database indicizzato (IndexedDB), il quale fa parte del motore di sviluppo WebKit di Apple. Esso può essere utilizzato per salvare i dati sul computer, come i siti web visitati, permettendo un caricamento più rapido quando torniamo a visitarli in un secondo momento.

IndexedDB segue anche un meccanismo di sicurezza che non consente ai siti web di interagire tra loro, a meno che non abbiano lo stesso nome di dominio. Sfortunatamente, il bug rivelato da FingerprintJS, fa sì che IndexedDB violi la politica della stessa origine, esponendo i dati che ha raccolto anche a siti web da cui non li ha raccolti. Se abbiamo fatto l’accesso al nostro account Google la cosa peggiora sensibilmente con i siti facenti parte ad esso che possono identificare con precisione la nostra cronologia di navigazione, oltre ai dettagli dell’account. Questo accade perché Google utilizza identificatori univoci specifici dell’utente nei dati forniti a IndexedDB.

Dichiarando che i siti web non attendibili o dannosi possono conoscere la nostra identità, riuscendo a collegare anche i vari account separati relativi a noi stessi, FingerprintJS ha rilasciato una demo (disponibile a questo link) che mostra il tipo di informazioni che l’exploit può rivelare. Il bug è stato anche segnalato ad Apple lo scorso novembre, che però non ha ancora rilasciato una patch.

C’è una soluzione temporanea, ma non per tutti

In attesa di una correzione, è possibile navigare utilizzando la modalità Privata di Safari, la quale può mitigare il danno poiché la scheda rimane isolata dalle altre private o pubbliche, seppur l’escamotage non sia infallibile. Infatti, secondo quanto emerso se visitiamo più siti web dalla stessa scheda privata, tutti i database con i quali interagiscono, vengono successivamente trasmessi a tutti siti.

Gli utenti macOS possono evitare la vulnerabilità passando da Safari a un browser diverso, ma le persone su iOS o iPadOS non hanno questo privilegio. Mentre solo Safari è stato influenzato su Mac, il requisito di Apple che tutti i browser Web iOS e iPad utilizzino WebKit, fa si che il bug IndexedDB abbia un impatto su tutti i browser disponibili sulla piattaforma mobile.

Potrebbe interessarti anche: La chiave digitale Apple CarKey non sarà più un’esclusiva BMW