La mise à jour iOS 15.3 d’Apple corrige un bogue de sécurité critique de Safari
Apple vient de publier iOS 15.3, et bien que cette dernière mise à jour n'ajoute aucune nouvelle fonctionnalité significative, elle corrige au moins une faille de sécurité critique. Plus tôt ce mois-ci, l'ingénieur logiciel Martin Bajanik de FingerprintJS a découvert une grave vulnérabilité dans Safari 15, le navigateur inclus dans iOS 15 et iPadOS 15 , qui pourrait divulguer des informations d'historique de navigation et même des informations d'identification de services en ligne qu'une personne utilise, tels que Google, YouTube, Amazon et sites utilisant WordPress.
Comme l'explique Bajanik, de nombreux sites Web utilisent une API appelée IndexedDB pour demander aux navigateurs tels que Safari et Chrome de stocker des informations dans une base de données locale sur l'appareil d'une personne. Dans des circonstances normales, un site Web donné ne devrait pouvoir demander des informations que sur les bases de données qu'il a créées – tous les autres devraient lui être invisibles.
Malheureusement, il s'avère que le navigateur Safari dans iOS 15 ne respectait pas exactement ces règles. Bien qu'il ne communiquait aucune information stockée dans ces bases de données, il fournissait volontiers une liste complète de toutes les bases de données locales à tout site Web qui le demandait.
Bien que cela puisse sembler relativement inoffensif à première vue, le problème est que de nombreux services utilisent des informations sensibles pour ces noms de bases de données. Par exemple, Google utilise un identifiant interne unique et spécifique à l'utilisateur qui permet à toute personne connectée à son compte Google d'être "identifiée de manière unique et précise". Bajanaik note que cet ID utilisateur Google peut même être introduit dans les API Google pour extraire des informations publiques sur le propriétaire du compte, telles que son nom et sa photo de profil.
Pour aggraver les choses, non seulement cela permet à un site Web malveillant de connaître l'identité d'un utilisateur, mais cela peut également être utilisé pour obtenir une liste de plusieurs comptes appartenant à la même personne. Cela pourrait créer une grave violation de la vie privée dans les situations où quelqu'un utilise un compte anonyme qui n'est en aucun cas lié à son identité personnelle. Un pirate exploitant cette faille pourrait établir une connexion en découvrant que le même individu avait des informations pour les deux comptes stockées dans son navigateur.
La faille semble également facile à exploiter. Bajanaik explique qu'"un onglet ou une fenêtre qui s'exécute en arrière-plan et interroge en permanence l'API IndexedDB pour les bases de données disponibles, peut savoir quels autres sites Web un utilisateur visite en temps réel", permettant aux pirates de collecter des données sur des cibles simplement en plantant du code malveillant dans un site Web apparemment légitime.
Correctifs de sécurité dans iOS 15.3
Par rapport aux fonctionnalités intéressantes qui sont arrivées dans les deux dernières versions majeures d'iOS, la mise à jour iOS 15.3 de cette semaine peut sembler assez ennuyeuse, mais elle ne doit pas être prise à la légère. En fait, il est encore plus important de mettre à jour vers iOS 15.3 dès que possible.
Non seulement iOS 15.3 corrige cette faille de sécurité particulièrement désagréable dans Safari, mais selon les notes de publication d'Apple , il existe neuf autres correctifs de sécurité importants, dont un qui, selon Apple, "peut avoir été activement exploité".
Parmi les autres vulnérabilités de sécurité résolues dans iOS 15.3, citons un bogue iCloud qui pourrait permettre aux applications de contourner la sécurité et d'accéder aux fichiers d'un utilisateur, ainsi que plusieurs autres scénarios dans lesquels des applications malveillantes pourraient trouver des moyens d'obtenir des privilèges root ou d'exécuter arbitrairement du code pour faire des choses qu'elles ne devraient pas faire. permis de faire.