Safari per iPhone e Mac soffre di un grave bug di sicurezza: dati degli utenti a rischio?

Safari per iPhone e Mac soffre di un grave bug di sicurezza: dati degli utenti a rischio?
di

L'ultimo update di Safari risale a settembre, quando sono state introdotte le estensioni su MacOS e iOS. Nonostante la mancanza di nuove feature, Apple ha continuato a lavorare alle patch di sicurezza del browser: tuttavia, stando a quanto riportato da FingerprintJS, Safari sarebbe interessato da una grave vulnerabilità di sicurezza.

Il bug riguarderebbe l'implementazione di IndexedDB per Safari su MacOS e iOS, e permetterebbe ad alcuni siti web di vedere più dati di quelli a cui dovrebbe poter accedere normalmente, estrapolando da questi ultimi delle informazioni sensibili come la cronologia recente e persino le informazioni dell'account Google con il quale è stato effettuato il login su Safari.

FingerprintJS ha persino creato una demo che potete utilizzare per verificare quali e quanti dati sono accessibili a causa del bug, tra i quali ritroviamo anche lo User ID di Google. Secondo il portale specializzato in sicurezza informatica, un sito web creato appositamente per sfruttare questa falla potrebbe utilizzare il Google User ID per risalire alle informazioni personali sull'utente, poiché l'ID viene utilizzato per tutte le richieste alle API di Google: per esempio, il portale demo di FingerprintJS può risalire alla foto profilo dell'utente solo a partire dal suo User ID.

Il portale spiega anche che la sua demo si limita a 30 domini nei database di Safari, estrapolando dunque le informazioni sensibili legate a soli trenta siti web, ma dei malintenzionati potrebbero facilmente ampliare la portata dei dati trafugati, accedendo all'intero database dei dati sensibili salvati su Safari.

Al momento, secondo FingerprintJS, tutte le versioni di Safari per iPhone, iPad e Mac sono vulnerabili: il portale ha anche spiegato di aver riportato il problema ad Apple già il 28 novembre, ma che la casa di Cupertino, per il momento, non ha pubblicato alcun fix. Alcuni mesi fa, invece, Apple ha implementato delle nuove misure di privacy per Safari anche su iCloud+, il suo più recente abbonamento a pagamento.

Quanto è interessante?
5