Safari, il browser di Apple, potrebbe mettere a repentaglio la privacy della cronologia di navigazione dei suoi utenti a causa di un bug.
Il bug, rilevato su Safari 15, come riportato da FingerprintJS, proveniva dall’API del database indicizzato che fa parte del WebKit di Apple. L’API viene utilizzata per salvare i dati sui siti Web visitati dagli utenti in modo che possano essere caricati più velocemente al loro ritorno. IndexedDB dovrebbe impedire ai dati di interagire tra loro, ma il bug ha compromesso l’intera procedura.
“In Safari 15 su macOS e su iOS e iPadOS 15, l’API IndexedDB compromette la modalità con cui vengono protetti i dati sensibili come la cronologia. Ogni volta che un sito Web interagisce con un database, viene creato un nuovo database (vuoto) con lo stesso nome in tutti i frame, schede e finestre attivi all’interno della stessa sessione del browser”, spiega l’ingegnere Martin Bajanik.
Bug trovato su Safari per controllare la cronologia di navigazione degli utenti
“Questo”, continua Bajanik, “consente ai siti Web di apprendere quali siti Web visita l’utente in diverse schede o finestre. Ciò è possibile perché i nomi dei database sono in genere univoci e specifici del sito Web”. A volte, questo include informazioni specifiche dell’utente che consentirebbero di identificare con precisione tutto ciò che gli utenti fanno online. Vale anche per piattaforme e app come YouTube, Google Calendar o Google Keep.
“Tutti questi siti Web creano nuovi database che includono qualsiasi tipo di informazione, dall’ID utente. Nel caso in cui l’utente abbia effettuato l’accesso a più account, vengono creati database per tutti questi account”. Dei 1000 siti Web più visitati oltre 30 risultano vulnerabili a causa di questo bug, inclusi Instagram, Netflix, Twitter e Xbox. Sfortunatamente, gli utenti di Safari, iPadOS e iOS non possono fermare il bug senza “misure drastiche”, come bloccare tutti i JavaScript. Una scelta così estrema sarebbe controproducente, poiché senza JavaScript il browser risulterebbe molto più rudimentale.
Inoltre, mentre gli utenti di Safari su Mac possono utilizzare un browser diverso, tutti i browser su iOS e iPadOS utilizzano WebKit di Apple, inclusa la concorrenza come nel caso di Google e Chrome. Il passaggio da uno all’altro diventa fin troppo complesso. FingerprintJS ha segnalato la fuga di notizie al WebKit Bug Tracker il 28 novembre 2021, ma Apple non ha ancora aggiornato Safari.