I ricercatori sulla sicurezza di FingerprintJS hanno scoperto un problema nell’implementazione dell’API IndexedDB, che deve seguire un meccanismo di sicurezza della stessa origine in base al quale database, script e documenti indicizzati di un’origine non devono interagire con oggetti di un’altra origine.
Tuttavia, IndexedDB viola questa politica. I ricercatori hanno notato che ogni volta che un sito Web contatta il database, Safari 15 su macOS e tutte le versioni del browser su iOS e iPadOS 15 creano un database nuovo e vuoto ma condiviso su tutte le schede, i frame e le finestre attive all’interno del browser. la stessa sessione del browser. A peggiorare le cose, questo database duplicato da diverse fonti viene creato con lo stesso nome dell’originale, il che significa che è più facile per l’autore del sito Web dannoso determinare la privacy dei dati a cui stai accedendo.
Gli analisti della sicurezza hanno notato che alcuni siti Web, come YouTube, Google Calendar e Google Keep, creano database basati su identificatori, come un ID utente di Google, che possono quindi essere utilizzati per tracciare e collegare dati eterogenei appartenenti a individui. Il post del blog afferma che:
Tieni presente che queste perdite non richiedono alcuna azione specifica da parte dell’utente. Una scheda o una finestra in esecuzione in background che interroga costantemente l’API IndexedDB per i database disponibili può sapere quali altri siti Web l’utente sta visitando in tempo reale. Inoltre, i siti Web possono aprire qualsiasi sito Web in un iframe o un popup per causare una perdita basata su IndexedDB per quel particolare sito Web.
In sostanza, qualsiasi sito Web che utilizza IndexedDB è interessato, il che significa anche che la privacy degli utenti di tali siti Web è a rischio. A peggiorare le cose, anche le persone che utilizzano Safari in modalità privata non sono al sicuro, sebbene il fatto che la modalità privata sia limitata a una scheda riduce il potenziale di perdita di dati. Tuttavia, se visiti più siti Web nella stessa scheda, i tuoi dati finiranno su tutti quei siti Web.
FingerprintJS ha segnalato questo problema ad Apple il 28 novembre 2021, ma Safari non ha ancora ricevuto un aggiornamento per questo bug. I ricercatori hanno anche rilasciato pubblicamente un codice proof-of-concept e una dimostrazione del bug, il che significa anche che c’è una maggiore possibilità che gli aggressori sfruttino l’exploit e che Apple debba rilasciare una correzione il prima possibile.
Al momento, l’unico modo per proteggersi dalla fuga di dati e dal tracciamento è bloccare tutti i JavaScript per impostazione predefinita, ma ciò probabilmente renderà più difficile la navigazione sul Web. Le persone che utilizzano macOS possono anche passare temporaneamente a un browser diverso, ma questa soluzione alternativa purtroppo non funzionerà per gli utenti iOS poiché tutti i browser sul sistema operativo mobile di Apple sono basati su WebKit, il che significa che anche loro sono interessati.
Lascia un commento