Apple è continuamente al lavoro per cercare di migliorare Safari e per renderlo quanto più sicuro possibile. Ciononostante nel corso delle ultime ore è stata individuata una grave falla che può essere sfruttato da eventuali malintenzionati per ottenere dettagli sulla cronologia dei siti visitati.
Safari 15: cronologia e dati di iPhone, iPad e Mac a rischio
Il bug interessa la versione 15 del browser dell’azienda della “mela morsicata” per iPhone, iPad e Mac ed è relativo all’implementazione di IndexedDB, un archivio lato client che, usando JavaScript, consente di memorizzare le informazioni direttamente su Safari. I nomi dell’archivio possono essere adoperati per estrarre informazioni identificative da una lookup table.
Per fare un esempio concreto, i servizi di Google memorizzano una istanza IndexedDB per ciascuno degli account loggati, con il nome del database corrispondente al proprio Google User ID. Sfruttando l’exploit un sito malevolo potrebbe recuperare i dettagli sull’account Google dell’utente di riferimento e servirsene per individuare altre informazioni personali, con l’ID utilizzabile per eseguire richieste usando le API dedicate ai servizi di Google.
Per verificare in autonomia quali e quanti dati risultano accessibili a causa del bug, FingerprintJS ha creato un’apposita demo. Da notare che questa si limita a trenta domini nel database di Safari, estrapolando le informazioni sensibili legate a soli trenta siti Internet, ma i malintenzionati potrebbero accedere all’interno database dei dati sensibili salvati su Safari e, di conseguenza, aumentare la portata dei dati trafugati.
Il problema è stato già riportato ad Apple il 28 novembre scorso, ma l’azienda di Cupertino per il momento non ha ancora fornito alcun fix. Per risolvere, Apple deve fare in modo che un sito Web possa accedere solo e soltanto al database creato dal nome di dominio a cui va a fare riferimento.