Attention, ce bug de Safari peut donner accès aux infos de votre compte Google

 

Le site FingerprintJS a décelé un bug dans le navigateur Safari qui permet potentiellement à des sites d’accéder à votre historique de navigation ainsi qu’à certaines données personnelles.

WWDC 2021 Safari
Source : Apple

Si vous utilisez Safari 15 sur iOS, iPadOS ou macOS, faites attention. Vous êtes peut-être concernés par ce bug du navigateur d’Apple détecté par le site FingerprintJS, spécialiste dans la recherche d’empreintes sur le web pour détecter des tentatives malveillantes. Celui-ci parvient à permettre à différents sites d’accéder éventuellement à votre historique de navigation.

Il s’agit, selon 9to5Mac qui a repéré l’information, d’un bug dans l’implémentation d’IndexedDB dans Safari pour Mac et iPhone/iPad. Il permet alors à un site web de consulter les noms des bases de données pour n’importe quel domaine et pas seulement le sien. Utilisé à mauvais escient, ce bug peut alors servir à extraire des informations d’identification dans une table de consultation.

Différents sites peuvent ainsi avoir connaissance de l’activité de votre navigation récente (ou en cours). Dans le billet de blog, FingerprintJS estime que la table de recherche ne conserve qu’une trentaine de noms de domaines, mais rien ne paraît pouvoir l’empêcher d’appliquer la technique à un ensemble plus important de sites web utilisant l’API JavaScript IndexedDB et d’en récupérer les données.

Un bug qui donne accès à vos identifiants Google

Mais le problème le plus délicat est tout autre : par ce bug, les services Google disposent eux aussi d’une instance IndexedDB pour chacun de vos comptes connectés et donc, avec un lien vers votre identifiant Google. Un site malveillant pourrait alors tenter de récupérer vos identifiants utilisateur pour l’appliquer à d’autres services et aller alors récupérer davantage de données vous concernant.

Si vous êtes connecté à votre compte Google pour différents services utilisés sur Safari, vos identifiants et photos de profil peuvent éventuellement être accessibles.

Un site a été mis au point pour que vous puissiez tester par vous-même si votre navigateur Safari est touché et connaître les informations qui ont fuité. Il fonctionne sur Safari 15 sur macOS, ainsi que sur n’importe quel navigateur sur iPhone ou iPad.

Averti fin novembre de ce bug sur Safari par FingerprintJS, Apple ne semble pas y avoir encore apporté de solution.


Pour nous suivre, nous vous invitons à télécharger notre application Android et iOS. Vous pourrez y lire nos articles, dossiers, et regarder nos dernières vidéos YouTube.

Les derniers articles