Un fournisseur d’outils de fingerprinting pour les exploitants de serveurs web a découvert une faille jusqu’ici non comblée dans le navigateur Safari d’Apple. Le bug se trouve dans l’implémentation par Apple de l’API IndexedDB, qui permet aux sites de stocker des bases de données en local. Apparemment, il est actuellement possible pour n’importe quel serveur d’interroger les IndexedDB déjà existantes, stockées dans Safari, du moins par leur nom. Cela permet à son tour un traçage indésirable de l’utilisateur, car les bases de données donnent également des indications sur l’endroit où l’utilisateur a surfé. Dans certaines circonstances, des problèmes de sécurité plus directs peuvent également survenir en fonction du site web – par exemple ceux de Google.
Sommaire
Selon un blog posté par le fournisseur FingerprintJS, le problème ne concerne pas seulement la version macOS de Safari, mais la variante encore plus répandue sous iOS (y compris iPadOS). Là, WebKit, le moteur de navigation d’Apple, est intégré dans chaque outil web, car les propres moteurs d’Apple sont toujours interdits. En conséquence, le problème d’IndexedDB pourrait également se trouver dans les navigateurs d’autres fabricants comme Google (Chrome) ou Firefox.
La fuite des noms peut être utilisée par les annonceurs pour créer un historique de navigation de l’utilisateur – ou par les pirates qui souhaitent obtenir plus de détails sur leur victime. La filiale YouTube de Google crée en outre une IndexedDB dont le nom contient l’ID utilisateur Google authentifié. Celui-ci permet à son tour de demander des détails supplémentaires sur un utilisateur via l’API Google, y compris une éventuelle photo de profil déposée.
Bug connu depuis novembre
Selon FignerprintJS, le bug se trouve dans Safari 15 pour Mac ainsi que dans tous les navigateurs WebKit sous iOS 15 et iPadOS 15, y compris les versions actuelles respectives. Le prestataire de services a également mis à disposition une démonstration en direct pour la fuite. Lors d’une tentative, celle-ci indiquait par exemple que l’on se trouvait sur YouTube, Instagram ou Stitcher.
Les anciens navigateurs comme Safari 14 ne semblent pas être touchés. Jusqu’à présent, il ne semble pas y avoir de solution de contournement pour ce problème. Même l’utilisation du mode de confidentialité dans Safari ne change rien au tracking. Apple connaît déjà le problème. Un rapport de problème correspondant a déjà atterri fin novembre dans le Bugtracker du projet WebKit. Il n’est pas clair si un correctif est en cours d’élaboration.