Apple a introduit un bogue dans l’interface de programmation IndexedDB dans la version 15 de son navigateur Safari.
Il permet à tout site malveillant d’apprendre quels autres sites un utilisateur visite dans différents onglets et différentes fenêtres. Et même, dans certains cas, comme YouTube ou le calendrier Google, ses identifiants. Il s’agit donc de violations graves de sa vie privée.
Alors que l’entreprise se présente comme un parangon de la défense de la vie privée de ses clients, et bien qu’ayant été avertie, par FingerprintJS, de ces vulnérabilités de sécurité le 28 novembre 2028, Apple n’a commencé à s’y intéresser que dimanche 16 janvier.
Elle présente ses correctifs comme résolvant la situation. Ce qui n’est pas le cas, tant que ces correctifs ne seront pas mis à disposition de ses clients, tant sur macOS que sur iOS et iPadOS.
Il ne s’agit pas d’un cas théorique, puisque sur les 1 000 sites les plus visités d’après Alexa, 30 interagissent avec les bases de données indexées de IndexDB sans aucune interaction de l’utilisateur, ni nécessité de s’authentifier.
Or, le mode de navigation privée de Safari ne protège aucunement l’utilisateur.
FingerprintJS met à disposition une démonstration sur le site safarileaks.com.
Le seul moyen de se protéger en attendant est gênant : il faut désactiver JavaScript sur tous les sites, sauf ceux en lesquels on a confiance. Ce qui empêchera la plupart des sites de fonctionner correctement.