E’ bastato un post condiviso per far scattare l’allarme e a muovere in fretta e fuori il colosso di Cupertino. Un bug nell’implementazione di WebKit di un’API JavaScript chiamata IndexedDB, che rischia di mettere in pericolo milioni di dati di utenti.
Il bug su Safari, infatti, può rivelare la tua cronologia di navigazione recente e persino la tua identità, in quanto consente a qualsiasi portale che utilizza IndexedDB, di accedere ai nomi dei database generati da altri siti web durante la navigazione di un utente.
Il bug potrebbe consentire a un portale di tracciare tutti quei siti visitati dall’utente, sia nelle schede sia nelle finestre, visto che i nomi dei database sono spesso univoci e specifici per ciascun sito.
Il bug riguarda le versioni più recenti dei browser che utilizzano WebKit
Il comportamento corretto e normale dovrebbe essere, invece, che i siti web possano accedere soltanto ai propri database IndexedDB. Invece non è così. Il bug riguarda le versioni più recenti dei browser che utilizzano WebKit, il motore di browser open source di Apple, inclusi Safari 15 per Mac e Safari su tutte le versioni di iOS 15 e iPadOS 15. Riguarda anche browser di terze parti, come Chrome su iOS 15 e iPadOS 15, questo perché Apple richiede che tutti i browser utilizzino WebKit su iPhone e iPad.
FingerprintJS ha mostrato una demo online del bug, osservando che non è richiesta alcuna azione da parte dell’utente affinché un portale acceda ai nomi di database IndexedDB, generati da altri siti. “Una scheda o una finestra che viene eseguita in background e interroga continuamente l’API IndexedDB per i database disponibili, può sapere quali altri siti Web visita un utente in tempo reale” afferma il post sul blog, in questione. Che ha fatto scattare l’allarme. “In alternativa, i siti possono aprire qualsiasi portale in un iframe o in una finestra popup, per attivare una perdita basata su IndexedDB per quel sito specifico“.
LEGGI ANCHE >>> Personalizzare il proprio iPhone è possibile? Sì, grazie a questo trucchetto immediato
La modalità di navigazione privata non protegge dal bug nelle versioni di Safari interessate. Gli utenti dovranno attendere che Apple risolva il bug con gli aggiornamenti software.
LEGGI ANCHE >>> Il nucleo della Terra si sta raffreddando troppo velocemente: allarme nel mondo della scienza per capire le cause
Nel frattempo, gli utenti di Safari 15 potrebbero passare temporaneamente a un browser diverso sul Mac, ma ciò non è possibile su iPhone o iPad poiché tutti i browser sono interessati dal bug WebKit su quei dispositivi. Il bug è stato già comunicato lo scorso 28 novembre tramite WebKit Bug Tracker. Tempo ne è passata, Apple ci sta lavorando, ma deve ancora porre rimedio al bug in questione.