venerdì, Dicembre 27, 2024

Exploit di Safari fa trapelare la cronologia del browser

Gli utenti dei dispositivi Apple sembrano essere vulnerabili a un significativo difetto di privacy del browser. Secondo 9to5Mac , FingerprintJS ha rivelato un exploit che consente agli aggressori di ottenere la cronologia recente del browser e persino alcune informazioni sull’account Google da Safari 15 su tutte le piattaforme supportate, nonché browser di terze parti su iOS 15 e iPadOS 15.
Il framework IndexedDB ( utilizzato per archiviare i dati su molti browser) sta violando la politica della “stessa origine” che impedisce ai documenti e agli script di una posizione (come un dominio o un protocollo) di interagire con i contenuti di un’altra, consentendo ai siti Web opportunamente codificati di dedurre le informazioni di Google dalla firma- negli utenti e nelle cronologie di schede e finestre aperte.

Il difetto compromette solo i nomi dei database piuttosto che il contenuto stesso. Tuttavia, questo sarebbe ancora sufficiente per un proprietario di un sito dannoso per prendere il tuo nome utente Google, scoprire la tua immagine del profilo e altrimenti saperne di più su di te. La cronologia potrebbe anche essere utilizzata per mettere insieme un profilo rudimentale dei siti che ti piacciono. La navigazione privata non sconfiggerà l’exploit, ha affermato FingerprintJS.

Abbiamo chiesto ad Apple un commento. FingerprintJS ha affermato di aver segnalato il problema il 28 novembre, tuttavia, e che Apple non lo aveva ancora affrontato con patch di sicurezza che onorassero la politica della stessa origine. Fino ad allora, l’unica soluzione potrebbe essere utilizzare un browser di terze parti sui Mac o bloccare tutto JavaScript, nessuno dei quali è necessariamente un’opzione.

ARTICOLI COLLEGATI:

ULTIMI ARTICOLI: