Utilisateurs de Safari et iOS : votre activité de navigation est divulguée en temps réel
Au cours des quatre derniers mois, les appareils Apple exécutant iOS, iPadOS et le navigateur Safari ont violé l’une des politiques de sécurité Internet les plus sacrées. La violation résulte d’un bogue qui provoque la fuite des identités des utilisateurs et de l’activité de navigation en temps réel.
la Même politique d’origine Il s’agit d’un mécanisme de sécurité de base qui empêche les documents, les scripts ou tout autre contenu chargé à partir d’une origine (le protocole, le nom de domaine et le port d’une page Web ou d’une application particulière) d’interagir avec les ressources d’autres ressources. Sans cette politique, les sites malveillants (par exemple, badguy.example.com) pourraient accéder aux identifiants de connexion de Google ou d’un autre site de confiance lorsqu’il est ouvert dans une fenêtre ou un onglet de navigateur différent.
Une atteinte manifeste à la vie privée
Depuis le lancement de Safari 15, iOS et iPadOS 15 en septembre, cette politique a été largement enfreinte, Recherche publiée en fin de semaine dernière avoir trouvé. comme site de démonstration Les graphiques révèlent qu’il est trivial pour un site d’apprendre les domaines des sites ouverts dans d’autres onglets ou fenêtres, ainsi que les identifiants des utilisateurs et autres informations d’identification associées à d’autres sites.
« Le fait que les noms de bases de données fuient entre différents actifs est une violation manifeste de la vie privée », a écrit Martin Pajanik, ingénieur logiciel chez FingerprintJS, une startup qui fabrique des interfaces d’identification d’appareils à des fins anti-fraude. Il a complété :
Il permet aux sites Web arbitraires de savoir quels sites Web l’utilisateur visite dans différents onglets ou fenêtres. Cela est possible car les noms de base de données sont généralement uniques et spécifiques au site Web. De plus, nous avons remarqué que dans certains cas, les sites Web utilisent des identifiants uniques spécifiques à l’utilisateur dans leurs noms de base de données. Cela signifie que les utilisateurs authentifiés peuvent être identifiés de manière unique et précise.
Les attaques fonctionnent sur les Mac exécutant Safari 15 et sur n’importe quel navigateur exécutant iOS ou iPadOS 15. Comme le montre la démo, safarileaks.com est capable de détecter la présence de plus de 20 sites Web – Google Calendar, YouTube, Twitter et Bloomberg – Ouvrir dans d’autres onglets ou fenêtres. Avec plus de travail, un attaquant du monde réel trouvera probablement des centaines ou des milliers de sites ou de pages Web à découvrir.
Lorsque les utilisateurs se connectent à l’un de ces sites, la vulnérabilité peut être exploitée pour détecter les visites et, dans de nombreux cas, identifier des informations en temps réel. Lorsque vous vous connectez à un compte Google ouvert ailleurs, par exemple, le site de test peut obtenir l’identifiant interne que Google utilise pour identifier chaque compte. Ces identifiants peuvent généralement être utilisés pour identifier le titulaire du compte.
sensibiliser
La fuite est le résultat d’une méthode utilisée par le moteur de navigateur Webkit pour implémenter IndexedDB, une interface de programmation prise en charge par tous les principaux navigateurs. Il contient de grandes quantités de données et fonctionne en créant des bases de données lorsque vous visitez un nouveau site. Les onglets ou les fenêtres s’exécutant en arrière-plan peuvent constamment interroger l’API IndexedDB pour les bases de données disponibles. Cela permet à un site Web d’apprendre en temps réel quels autres sites Web l’utilisateur visite.
Les sites Web peuvent également ouvrir n’importe quel site Web dans une iframe ou une fenêtre contextuelle afin de déclencher une fuite basée sur une base de données indexée pour ce site Web spécifique. En incluant une iframe ou une fenêtre contextuelle dans son code HTML, un site peut ouvrir un autre site pour provoquer la fuite d’un document dans la base de données indexée du site.
« Chaque fois qu’un site Web interagit avec une base de données, une nouvelle base de données (vide) portant le même nom est créée dans toutes les autres fenêtres, onglets et fenêtres actifs de la même session de navigateur », a écrit Pajanik. « Les fenêtres et les onglets partagent généralement la même session, sauf si vous passez à un profil différent, dans Chrome par exemple, ou ouvrez une fenêtre privée. »
Pajanik a déclaré avoir informé Apple de la vulnérabilité fin novembre et, au moment de la publication, elle n’a pas été corrigée dans Safari ou dans les systèmes d’exploitation mobiles de l’entreprise. Les représentants d’Apple n’ont pas répondu à un e-mail demandant si ou quand ils publieraient un correctif. Depuis lundi, les ingénieurs d’Apple ont intégré et signalé des correctifs potentiels Rapport Pajanic Il a également été résolu. Cependant, les utilisateurs finaux ne seront pas protégés tant que le correctif Webkit ne sera pas intégré à Safari 15, iOS et iPadOS 15.
Pour l’instant, les gens doivent être prudents lorsqu’ils utilisent Safari de bureau ou tout navigateur fonctionnant sur iOS ou iPadOS. Ce n’est pas particulièrement utile pour les utilisateurs d’iPhone ou d’iPad, et dans de nombreux cas, il y a peu ou pas de conséquences pour les fuites d’activités de navigation. Cependant, dans d’autres cas, les sites spécifiques visités et l’ordre d’accès à ceux-ci peuvent en dire long.
« La seule véritable protection consiste à mettre à jour votre navigateur ou votre système d’exploitation une fois le problème résolu par Apple », a écrit Pajanic. « En attendant, nous espérons que cet article sensibilisera à ce problème. »