Il bug riguarda anche i programmi di terze parti su iPhone e iPad
Gli utenti Apple sembrano essere vulnerabili ad un difetto di privacy del browser casalingo, Safari. Il sito FingerprintJS ha rivelato la presenza di un exploit che consente agli aggressori di ottenere la cronologia di navigazione sia di Safari che di programmi di terze parti, su iOS 15 e iPadOS 15, inerenti anche informazioni sugli account Google. Il framework IndexedDB (utilizzato per archiviare i dati su molti browser) viola la “same origin policy”, un importante concetto di sicurezza informatica per un ampio gruppo di linguaggi di scripting lato client, come ad esempio JavaScript.
Questa impedisce ai documenti e agli script di una posizione (come un dominio o un protocollo) di interagire con i contenuti di un’altra, consentendo solo ai siti web opportunamente codificati di dedurre le informazioni di Google dagli utenti autenticati, così come la cronologia e le schede aperte.
Il difetto compromette solo i nomi dei database piuttosto che il contenuto stesso. Tuttavia, lo scenario sarebbe sufficiente per consentire al proprietario di un sito dannoso di ottenere il nome utente Google, scoprire l’immagine del profilo e saperne di più su un singolo navigatore. La cronologia potrebbe anche essere utilizzata per mettere insieme un profilo rudimentale dei siti che una persona visita di più, magari per operazioni di spear phishing. Secondo FingerprintJS, la navigazione privata non rende innocuo l’exploit.
FingerprintJS ha affermato di aver segnalato il problema ad Apple il 28 novembre, tuttavia l’azienda non lo ha ancora affrontato con una patch di sicurezza volta a proteggere la same origin policy. Fino ad allora, una soluzione potrebbe essere utilizzare un browser di terze parti, bloccando del tutto i moduli JavaScript, per evitare una condivisione troppo disincantata delle informazioni.
