Apple ha rilasciato le RC (Release Candidate) di macOS 12.2 e iOS 15.3 che risolvono il problema di sicurezza scoperto da FingerprintJS in Safari. L’azienda di Cupertino aveva confermato l’esistenza del bug nella pagina di WebKit su GitHub. Non è noto quando saranno disponibili le versioni finali dei due sistemi operativi.
Fix per Safari in macOS 12.2 e iOS 15.3
La vulnerabilità è presente nella API IndexedDB che permette ai siti web di memorizzare grandi quantità di dati nel browser. L’implementazione di Safari 15 su macOS, iOS e iPadOS (ma anche altri browser per iOS/iPadOS che usano WebKit) non rispetta la policy “same-origin” che impedisce ad un documento o script caricato da un sito di interagire con le risorse di un altro sito.
A causa del bug, ogni volta che un sito interagisce con il database creato con IndexedDB, un nuovo database vuoto con lo stesso nome viene creato in tutte le schede o finestre attive all’interno della stessa sessione. Ciò consente ad un sito arbitrario di vedere quali siti sono stati visitati dall’utente, in quanto il nome del database corrisponde al singolo sito. È possibile quindi accedere alla cronologia di navigazione. Per alcuni siti, come YouTube, Google Calendar e Google Keep, il database include il Google ID (identificatore associato all’account), pertanto è possibile anche accedere alle informazioni personali.
FingerprintJS ha pubblicato una pagina per verificare se il browser è vulnerabile. L’installazione delle RC di macOS 12.2 e iOS 15.3 risolve il bug. Le versioni finale dovrebbero essere rilasciate la prossima settimana. Nel frattempo è possibile usare un altro browser su macOS. Su iOS non ci sono alternative, dato che tutti i browser sono basati su WebKit.