Un bug in Safari gestisce l’API IndexedDB che potenzialmente perde informazioni sulle abitudini di navigazione di un utente, un problema che potrebbe essere utilizzato per rivelare l’identità dell’utente.
Apple ha continuamente cercato di rendere Safari incentrato sulla privacy, con l’introduzione di iniziative per prevenire il tracciamento tra siti e il Rapporto sulla privacy di Safari inteso a proteggere gli utenti. Tuttavia, un bug di Safari potrebbe aver annullato tutto questo lavoro.
Un post sul blog del servizio di fingerprinting del browser FingerprintJS sottolinea che c’è un problema con il modo in cui Apple ha implementato l’API IndexedDB in Safari 15.
Secondo i ricercatori, il bug può consentire a qualsiasi sito Web di tracciare l’attività Internet di un browser e potenzialmente determinarne l’identità.
IndexedDB è un’API browser utilizzata dai principali browser Web come archiviazione lato client, contenente dati come il database. Normalmente, l’uso di una “politica della stessa origine” limiterà i dati a cui è possibile accedere in modo che un sito possa accedere solo ai dati che ha generato, non a quelli di altri siti.
Nel caso di Safari 15 per macOS , iOS e iPadOS, è stato riscontrato che IndexedDB viola la policy della stessa origine. I ricercatori affermano che ogni volta che un sito Web interagisce con il suo database, viene creato un nuovo database vuoto che utilizza lo stesso nome “in tutti gli altri frame, schede e finestre attivi all’interno della stessa sessione del browser”.
La perdita di dati è un problema in quanto può consentire ai siti Web di sapere quali altri siti Web visita un utente in diverse schede o finestre all’interno della stessa sessione. In parte, ciò è dovuto al fatto che i database hanno nomi generalmente univoci e specifici del sito Web.
Il problema è aggravato poiché alcuni siti Web utilizzano nomi di database che includono identificatori univoci specifici per un utente.
Per i siti Web che possono condividere le stesse credenziali di autenticazione,
come Gmail e YouTube, il nome del database può includere lo stesso ID utente di Google autenticato.
Tale ID utente di Google viene utilizzato come identificatore interno all’interno di Google e si riferisce a un singolo account.
È anche possibile estrarre informazioni personali dalle API di Google utilizzando questo identificatore, che potrebbe aiutare i siti a identificare completamente l’utente.
Durante i test, è stato riscontrato che i database indicizzati con identificatori universalmente univoci sono stati creati dalle reti pubblicitarie.
Tuttavia, le funzionalità di prevenzione del tracciamento di Safari hanno impedito la divulgazione di tali nomi di database in questo modo.
L’utilizzo di una finestra privata non protegge gli utenti dai fenomeni, tuttavia, le sessioni di navigazione sono limitate a una singola scheda, limitandone l’effetto.
FingerprintJS ha creato una pagina Web che dimostra la perdita,
in grado di visualizzare l’ID utente di Google e i siti Web caricati dalla stessa sessione
di navigazione.
L’elenco dei browser interessati è costituito da Safari 15 su macOS ed effettivamente
tutti i browser su iOS 15 e iPadOS 15, a causa del requisito che tutti utilizzino WebKit.
Proteggersi da questo bug in Safari
A causa del modo in cui il problema si manifesta, c’è poco che gli utenti di Safari possono effettivamente fare per risolvere il problema. È possibile bloccare JavaScript per impostazione predefinita ma abilitarlo solo su siti attendibili, ma ciò potrebbe danneggiare l’esperienza di navigazione.
Un’altra alternativa su macOS consiste nell’utilizzare un browser diverso come misura temporanea.
In definitiva, i ricercatori ammettono, “l’unica vera protezione è aggiornare
il browser o il sistema operativo una volta che il problema è stato risolto da Apple”.
Netflix News Serie TV Film Amine
Apple Android Tecnologia Prime Video Offerte Disney+
Seguici su Facebook Twitter Pinterest
Seguici su Telegram: Netflix, Offerte Amazon Prime, Prime Video