Un bogue de confidentialité majeur d'Apple Safari signifie que tous les sites Web peuvent accéder à votre identifiant Google, à d'autres données privées

Accueil » Apple

Icône de temps de lecture 2 minute. lis

Icône de calendrier Publié le

by Surur Davids 

publié sur

Partagez cet article

Les lecteurs aident à prendre en charge MSpoweruser. Nous pouvons recevoir une commission si vous achetez via nos liens. Icône d'info-bulle

Lisez notre page de divulgation pour savoir comment vous pouvez aider MSPoweruser à soutenir l'équipe éditoriale En savoir plus

Si vous vous souciez de votre vie privée, vous devez éteindre votre iPhone, après un grave bogue d'implémentation dans Safari, tout site Web est capable de lire certaines de vos données privées et votre historique de navigation récent, même en utilisant le mode de navigation privée.

Le problème réside dans la manière dont Safari implémente IndexedDB, une base de données basée sur un navigateur couramment utilisée par les applications Web. La plupart des navigateurs créent une nouvelle instance d'IndexedDB pour chaque site Web, accessible uniquement à partir de ce site Web.

Safari crée cependant des versions vides de IndexedDB créées par chaque page Web dans chaque autre page Web, ce qui signifie que pour IndexedDB, Safari ne respecte pas correctement la politique de même origine.

Même si les clichés instantanés d'IndexedDB créés pour d'autres pages Web sont vides, ils portent toujours le même nom que la base de données réelle créée par l'application Web d'origine, ce qui peut divulguer des informations privées. La simple présence de la base de données permettra aux autres pages Web de savoir que vous avez visité un autre site Web. Par exemple, la présence de Netflix IndexedDB pourrait indiquer à Amazon que vous êtes un utilisateur de Netflix. Pire encore, cependant, le nom de la base de données peut divulguer vos informations d'identification. Le nom de la base de données des applications Google (telles que Gmail ou YouTube) inclut par exemple votre identifiant Google, qui peut être utilisé pour accéder à vos informations accessibles au public, telles que votre photo de profil.

Le bogue était découvert et rapporté par FingerprintJS le 28 novembre, mais jusqu'à présent, Apple n'a pris aucune mesure.

Vous pouvez tester le problème sur le site Web de preuve de concept de FingerprintJS ici, qui vérifiera si vous avez récemment visité 30 sites Web majeurs différents.

Sur macOS, les utilisateurs peuvent et doivent utiliser un autre navigateur, mais sur iOS, tous les navigateurs utilisent le moteur Web Safari, ce qui signifie que tous les utilisateurs d'iPhone n'ont aucune atténuation, sauf pour cesser d'utiliser le navigateur sur leur téléphone.

Regardez la vidéo explicative de FingerprintJS ci-dessous :

via le bord

En savoir plus sur les sujets : pomme, Confidentialité, sécurité

Surur Davids

Surur Davids bouclier

Expert en smartphones

Surur Davids est le fondateur de WMPoweruser qui deviendra plus tard MSPoweruser.com. C'est un expert en smartphones avec plus d'une décennie d'expérience.

Soyez sympa! Laissez un commentaire

Votre adresse email n'apparaitra pas. Les champs obligatoires sont marqués *