Sécuriser correctement une API est extrêmement important. En août 2021, la configuration par défaut des portails Microsoft Power Apps a entraîné la fuite de 38 millions d’enregistrements en raison d’une API publique contenant des informations sensibles. Maintenant, les chercheurs en sécurité ont découvert un bogue similaire dans l’API Safari 15 qui pourrait divulguer vos données personnelles.
Les chercheurs en sécurité de FingerprintJS ont découvert un problème dans l’implémentation de l’API IndexedDB, qui doit suivre un mécanisme de sécurité de même origine selon lequel les bases de données indexées, les scripts et les documents d’une origine ne doivent pas interagir avec des objets d’une autre origine.
Cependant, IndexedDB viole cette politique. Les chercheurs ont noté que chaque fois qu’un site Web contacte la base de données, Safari 15 sur macOS et toutes les versions du navigateur sur iOS et iPadOS 15 créent une nouvelle base de données vide mais partagée sur tous les onglets, cadres et fenêtres actifs du navigateur. la même session de navigateur. Pour aggraver les choses, cette base de données en double provenant de différentes sources est créée avec le même nom que l’original, ce qui signifie qu’il est plus facile pour l’auteur du site Web malveillant de déterminer la confidentialité des données auxquelles vous accédez.
Les analystes de la sécurité ont noté que certains sites Web, tels que YouTube, Google Calendar et Google Keep, créent des bases de données basées sur des identifiants, tels qu’un identifiant utilisateur Google, qui peuvent ensuite être utilisés pour suivre et relier des données hétérogènes appartenant à des individus. Le billet de blog mentionne que :
Veuillez noter que ces fuites ne nécessitent aucune action spécifique de l’utilisateur. Un onglet ou une fenêtre fonctionnant en arrière-plan qui interroge constamment l’API IndexedDB pour les bases de données disponibles peut savoir quels autres sites Web l’utilisateur visite en temps réel. De plus, les sites Web peuvent ouvrir n’importe quel site Web dans un iframe ou une fenêtre contextuelle pour provoquer une fuite basée sur IndexedDB pour ce site Web particulier.
Essentiellement, tout site Web qui utilise IndexedDB est affecté, ce qui signifie également que la vie privée des utilisateurs de ces sites Web est menacée. Pour aggraver les choses, même les personnes utilisant Safari en mode privé ne sont pas en sécurité, bien que le fait que le mode privé soit limité à un onglet réduit le risque de fuite de données. Cependant, si vous visitez plusieurs sites Web sur le même onglet, vos données se retrouveront sur tous ces sites Web.
FingerprintJS a signalé ce problème à Apple le 28 novembre 2021, mais Safari n’a pas encore reçu de mise à jour pour ce bogue. Les chercheurs ont également publié publiquement un code de preuve de concept et une démonstration du bogue, ce qui signifie également qu’il y a plus de chances que les attaquants exploitent l’exploit et qu’Apple doit publier un correctif dès que possible.
Pour le moment, la seule façon de vous protéger contre les fuites de données et le suivi est de bloquer tout JavaScript par défaut, mais cela rendra probablement plus difficile la navigation sur le Web. Les personnes utilisant macOS peuvent également basculer temporairement vers un autre navigateur, mais cette solution de contournement ne fonctionnera malheureusement pas pour les utilisateurs d’iOS puisque tous les navigateurs du système d’exploitation mobile d’Apple sont basés sur WebKit, ce qui signifie qu’ils sont également concernés.
Laisser un commentaire