Un bug in Apple Safari mette gli utenti del browser di iOS, iPadOS e macOS a rischio di esposizione dei dati e di tracciamento cross-browser nella navigazione Web. Apple non ha ancora rilasciato una patch per risolvere la vulnerabilità.
“Questa è l’ennesima dimostrazione che anche i sistemi iOS (e in questo caso anche iPadOS e macOS, ndr) possono avere vulnerabilità“, commenta Gerardo Costabile, CEO di DeepCyber (Gruppo Maggioli), “come è fisiologico che sia nell’ecosistema digitale, sempre più variegato e complesso”.
Indice degli argomenti
Bug in Apple Safari, i dettagli
Il bug, presente nell’implementazione di IndexedDB API di Apple Safari 15, è a rischio abuso. Siti malevoli potrebbero infatti tracciare l’attività online degli utenti del browser e perfino rivelare la loro identità.
A rilevare la vulnerabilità, chiamata IndexedDB Leaks, è stata FingerprintJS. La software house di protezione dei dati che ha segnalato l’esistenza del bug ad Apple lo scorso 28 novembre, ma la falla è ancora priva di patch.
Cos’è API IndexedDB
IndexedDB è un’API (application programming interface) JavaScript di basso livello fornita dai web browser per gestire un database NoSQL di data objects strutturati come file e blob. “Come la maggior parte delle soluzioni di web storage, IndexedDB segue la ‘same-origin’ policy “, annota Mozilla nella sua documentazione dell’API. “Così, mentre accedete a dati archiviati in un dominio, non potete eseguire l’accesso ai dati attraverso differenti domini”.
La “same-origin” policy ovvero della “stessa origine” è un meccanismo di sicurezza fondamentale che assicura che le risorse recuperate da origini distinte — come la combinazione di uno schema (protocollo), host (dominio) e numero di porta di un URL — sono isolate le une dalle altre. Ciò significa in effetti che “http[:]//example[.]com/” e “https[:]//example[.]com/” non condividono la “same-origin” poiché usano schemi differenti.
“In Safari 15 su macOS, e in tutti i browser su iOS e iPadOS 15, IndexedDB API sta violando la policy della same-origin”, illustra Martin Bajanik di FingerprintJS: “Ogni volta che interagisce con un database, crea un nuovo database (vuoto) database con identico nome in tutti gli altri frame attivi, tab e finestre aperte, nella stessa sessione del browser”.
Il falso mito della navigazione anonima
Limitando come uno script caricato da un’unica origine può interagire con una risorsa proveniente da altra origine, l’idea consiste nel “sequestrare” script potenzialmente malevoli e ridurre eventualmente vettori di attacco che giungono da un sito compromesso, facendo girare codice JavaScript arbitrario in grado di leggere dati da un altro dominio, per esemopio un servio di posta elettronica.
“Non serve a molto, come potrebbe ipotizzarsi, navigare in modalità anonima”, spiega Gerardo Costabile: “Questo tipo di vulnerabilità consente all’attaccante di recuperare informazioni su altri tab aperti o per altri siti oggetto di navigazione, oltre che i nostri account associati al tool di navigazione”.
Cosa si rischia
“Non sottovalutate le informazioni che si recuperano in questi casi”, continua l’esperto di cyber security. “Si inizia con qualche informazione su che account hanno navigato ed il collegamento tra questi ed i siti specifici”, continua Costabile, “poi, studiando le informazioni raccolte, l’attaccante potrà creare una campagna di phishing mirato (spear phishing), per operare un data breach, infettare i nostri device o perpretrare una frode”.
Infatti, la conseguenza della violazione della privacy può consentire a un sito di visitare tab o finestre differenti, identificare gli utenti sui servizi di Google come YouTube e Google Calendar dal momento che essi creano database IndexedDB che includono Google User ID autenticati ovvero strumenti interni per identificare un singolo account Google in maniera precisa.
Come proteggersi dal bug in Apple Safari
Anche nel caso della falla in Apple Safari, “il principale consiglio è quello di cliccare con moderazione sui link ricevuti”, mette in guardia Costabile: “bisogna ragionare prima di andare su siti web ricevuti, specialmente quelli via chat o con le note (e fastidiose) catene di messaggi nei gruppi”. E conclude: “Appena possibile e disponibile, inoltre, fare l’aggiornamento dei software e in questo caso particolare quello di navigazione”.
