Dans Safari 15, un bug peut révéler l’historique et une partie de l’identité

Le problème a été découvert par la société FingerprintJS, spécialisée dans la détection de fraudes en ligne. Il réside dans la manière dont le navigateur se sert de l’API IndexedDB pour la création de bases de données locales. Il touche tous les navigateurs sur iOS et iPadOS, les butineurs tiers ayant l’obligation de passer par Safari pour le rendu des pages.

Quand un site accède à sa base de données, une copie vide de cette dernière devient accessible aux autres onglets et fenêtres. Or, même si ces bases sont vides, leur nom mentionne le plus souvent les sites qui les ont créées.

Un site sachant où chercher peut donc récupérer une partie de l’historique, voire des informations identifiantes. Car, comme le souligne FingerprintJS, une société comme Google se sert d’un matricule correspondant au compte utilisateur pour nommer ses bases IndexedDB.

Toujours selon les découvreurs, il faut attendre qu’Apple corrige le problème de son côté, le bug étant présent dans le Bug Tracker de Webkit depuis fin novembre déjà. Le mode navigation privée ne change rien, et seule la désactivation de JavaScript stoppe le problème.

Une page a été créée pour démontrer le souci. Nommée SafariLeaks, elle montre aux utilisateurs les sites visités s’ils exploitent IndexedDB. Une méthode de collecte qui peut bien sûr servir au fingerprinting.

Vous n'avez pas encore de notification

Page d'accueil
Options d'affichage
Abonné
Actualités
Abonné
Des thèmes sont disponibles :
Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !