Un pericoloso bug di Safari potrebbe compromettere il vostro account Google

Un bug nell'implementazione WebKit impiegata da Safari 15 su macOS, iOS e iPadOS potrebbe portare alla fuga di informazioni.

Avatar di Antonello Buzzi

a cura di Antonello Buzzi

Editor

È stato scoperto un bug che coinvolge IndexedDB, API del motore WebKit del popolare browser Safari per sistemi operativi Apple, che potrebbe portare al leak delle vostre attività di navigazione in tempo reale, nonché consentire a eventuali malintenzionati di entrare in possessori di informazioni sensibili. IndexedDB, infatti, viene utilizzato per il caching dei dati delle applicazioni web per la visualizzazione offline, nonché da moduli, strumenti di sviluppo ed estensioni del browser.

Come riportato dai colleghi di Bleeping Computer, gli analisti di FingerprintJS hanno rilevato che IndexedDB non segue la politica "same-origin", che previene fughe di dati da attacchi cross-site, nell'implementazione WebKit impiegata da Safari 15 su macOS, iOS e iPadOS. In particolare, stando all'articolo, gli analisti hanno controllato le homepage dei siti più visitati riscontrando che oltre 30 di loro interagivano con i database indicizzati direttamente sulla loro home, senza alcuna interazione aggiuntiva dell'utente o la necessità di autenticarsi, come vari servizi Google, ad esempio Calendar o Keep. Tuttavia, gli analisti sospettano che questo numero sia significativamente più alto, poiché i siti possono interagire con i database su sottopagine dopo specifiche azioni dell'utente.

Nei casi in cui le sottopagine creano database UUID (Universally Unique Identifiers), i sistemi di prevenzione del tracciamento di Safari intervengono per bloccare la fuga di informazioni. Questa protezione viene ulteriormente potenziata se si usano estensioni ad-blocking. Anche la modalità privata di Safari 15 è interessata da questo problema, sebbene, per la stessa natura della funzionalità, le informazioni immagazzinate in IndexedDB saranno decisamente inferiori rispetto alla normale navigazione.

Visto che si tratta di un problema collegato a WebKit, qualsiasi browser basato su di esso (come Brave o Chrome per iOS), potrebbe essere potenzialmente vulnerabile. Nel caso vogliate testare il vostro sistema, potete verificare la vulnerabilità al bug aprendo questa pagina.