Un bug scoperto di recente in Safari 15 consente a qualsiasi sito Web di tracciare la tua attività di navigazione e potrebbe persino rivelare la tua identità se sei un utente di Google.
Il problema deriva dall'implementazione da parte di Apple di IndexedDB, un'API di archiviazione ampiamente supportata dalla maggior parte dei browser moderni e che colpisce gli utenti su Mac, iPhone e iPad. Ecco cosa devi sapere.
Safari 15 perde i dati degli utenti
IndexedDB è un'API JavaScript per browser Web progettata per contenere grandi quantità di dati, inclusi i file. Viene utilizzato da un'ampia gamma di app Web per archiviare i dati sulla tua macchina in modo che siano più veloci da caricare e più reattivi.
IndexedDB utilizza quella che viene chiamata una "politica della stessa origine", un meccanismo di sicurezza che limita il modo in cui documenti o script caricati da un'origine possono interagire con risorse di altre origini. In altre parole, la policy della stessa origine impedisce sul sito di accedere ai dati salvati da un altro.
Tuttavia, nel Safari 15, un bug impedisce il corretto funzionamento della stessa policy originale. Ciò consente ai siti Web di accedere ai database creati da altri siti, consentendo loro di visualizzare le tue abitudini di navigazione al di fuori delle loro mura. Inoltre, il bug potrebbe persino far trapelare la tua identità.
Attenzione, utenti di Google
"Inoltre, abbiamo osservato che in alcuni casi i siti Web utilizzano identificatori univoci specifici dell'utente nei nomi dei database", spiega FingerprintJS, che per primo ha scoperto il problema. "Ciò significa che gli utenti autenticati possono essere identificati in modo univoco e preciso".
Questo perché alcuni siti Google popolari, inclusi YouTube, Google Calendar e Google Keep, creano database che includono il tuo ID utente Google autenticato. Questo ID è associato a un singolo account Google (il tuo) e può essere utilizzato con le API di Google per recuperare le informazioni sull'utente.
"Si noti che queste perdite non richiedono alcuna azione specifica dell'utente", avverte il rapporto. "Una scheda o una finestra che viene eseguita in background e interroga continuamente l'API IndexedDB per i database disponibili, può sapere quali altri siti Web visita un utente in tempo reale".
La modalità privata non può aiutarti
FingerprintJS ha controllato i primi 1.000 siti Web di Alexa per vedere quanti usano IndexedDB e ne ha trovati più di 30 che interagiscono con l'API direttamente sulla loro home page, senza particolari interazioni con l'utente necessario. Quindi, alcuni siti potrebbero raschiare i tuoi dati e tu non ne sapresti nulla.
"Sospettiamo che questo numero sia significativamente più alto negli scenari del mondo reale poiché i siti Web possono interagire con i database su sottopagine, dopo azioni specifiche dell'utente o su parti autenticate della pagina".
Purtroppo, anche la modalità privata di Safari è interessata dal bug. Tuttavia, poiché la modalità privata limita le sessioni di navigazione a una singola scheda, riduce notevolmente la quantità di informazioni disponibili su più siti.
Vedi se sei interessato
Puoi scoprire se sei interessato da questo bug visitando FingerprintJS' pagina di prova del concetto. Con un solo clic, ti mostra che tipo di dati Safari sta perdendo su di te e tutti gli ID utente di Google che può rilevare. È solo una semplice app a scopo dimostrativo ed è perfettamente sicura.
FingerprintJS ha segnalato questo problema tramite il WebKit Bug Tracker il 28 novembre 2021. Non c'è ancora alcuna soluzione per questo. C'è poco che puoi fare per proteggerti in Safari 15, a parte bloccare completamente JavaScript. Tuttavia, ciò impedirà a molti siti Web di funzionare come previsto e non è del tutto efficace.
Se sei preoccupato per questo problema, loro, è meglio utilizzare un altro browser Web fino a quando Apple non avrà implementato una soluzione. E assicurati di installare tutti gli aggiornamenti di Safari non appena sono disponibili.