Un nouveau bogue Safari a été découvert dans iOS, iPadOS et Mac par Empreinte digitaleJS (Passant par 9To5Mac). Le bogue peut révéler des informations sur votre historique de navigation récent en plus de certaines informations sur le compte Google connecté.
Le bogue se trouve dans l’implémentation IndexedDB de Safari sur les trois systèmes d’exploitation d’Apple. Apparemment, un site Web peut voir les noms des bases de données pour n’importe quel domaine. En règle générale, un site Web ne devrait voir que les noms des bases de données de son propre domaine, il s’agit donc certainement d’un problème de sécurité. Les noms des bases de données peuvent être utilisés pour extraire des informations d’une table de recherche.
Avec ces informations, votre historique de navigation récent pourrait faire surface. De plus, étant donné que les services Google stockent une instance IndexedDB pour chacun de vos comptes connectés, le nom de votre compte peut également être révélé.
En ce qui concerne ce que quelqu’un pourrait faire avec ces informations, il pourrait récupérer votre identifiant Google, puis l’utiliser pour découvrir d’autres informations personnelles vous concernant.
Si vous voulez voir le bogue en action, vous pouvez visiter safarileaks.com dans le navigateur Safari sur Mac, iPad ou iPhone. Si vous essayez à partir d’un autre navigateur sur Mac, vous verrez un message indiquant que « Votre navigateur n’est pas affecté. Veuillez ouvrir cette démo dans Safari 15 sur macOS ou n’importe quel navigateur sur iOS et iPadOS 15. » Si vous êtes sur iPad ou iPhone, cela fonctionnera dans les deux sens.
FingerprintJS a signalé le bogue pour la première fois à Apple le 28 novembre 2021, mais le problème n’a pas encore été résolu. Espérons que la pression du problème étant public poussera Apple à trouver une solution.