Account Google su Safari a rischio. Lo riporta FingerprintJS. Safari è interessato da una grave vulnerabilità di sicurezza. Nello scorso Settembre, data dell’ultimo upgrade del Browser, sono state introdotte le estensioni su MacOS e iOS. Nonostante la mancanza di nuove feature, Apple ha continuato a lavorare alle patch di sicurezza del Browser, ma il bug che agisce su Safari resta pericoloso.
Il Bug
Il bug riguarderebbe l’implementazione di IndexedDB per Safari su MacOS e iOS, e permetterebbe ad alcuni siti web di accedere a più dati di quelli ai quali dovrebbe avere accesso, una volta ottenuto il consenso. Es: la cronologia recente e persino le informazioni dell’account Google con il quale è effettuato il login su Safari.
Demo di verifica
FingerprintJS ha quindi creato una demo utile a verificare quali e quanti dati sono accessibili a causa del bug. Dati tra i quali figura anche lo User ID di Google. Secondo il portale specializzato in sicurezza informatica, un sito web creato volutamente per sfruttare la falla può utilizzare il Google User ID per risalire alle informazioni personali sull’utente, poiché l’ID viene utilizzato per tutte le richieste alle API di Google. Facciamo un esempio: il portale demo di FingerprintJS può recuperare la foto profilo dell’utente solo a partire dal suo User ID.
Il limiti della Demo
FingerprintJS ha precisato che la sua demo limita l’analisi a 30 domini nei database di Safari ed è utile ai fini di verificare la vulnerabilità di Safari. E’ a questo punto chiaro che degli eventuali malintenzionati potrebbero ampliare il numero di dati trafugabili, come detto, accedendo all’intero database dei dati sensibili salvati su Safari.
Apple al momento latita
La casa di Cupertino, avvertita prontamente da FingerprintJS il 28 Novembre, al momento non ha dato feedback né pubblicato alcun comunicato. In relazione a Safari, Apple si era mossa implementando delle nuove misure di privacy per Safari anche su iCloud+, il suo più attuale abbonamento a pagamento. In attesa di un segnale dalla mela, vi invitiamo a fare attenzione e verificare la vulnerabilità delle vostre macchine, utilizzando la Demo.
