Un bug scovato tra gli ingranaggi di Safari permette di tracciare l’attività degli utenti a loro insaputa, a prescindere dalle impostazioni di sicurezza. Ecco com’è emerso il problema, e soprattutto cosa fare per impedirlo.
Il bug è stato scovato nell’implementazione di IndexedDB nelle API Javascript di WebKit, il motore di rendering delle pagine Web alla base di Safari. In teoria, e senza entrare troppo nel tecnico, IndexedDB dovrebbe permettere ad ogni sito Web di accedere al database della cronologia di navigazione specifica per quel sito Web; e invece, il bug consente l’accesso indiscriminato a tutti i database di navigazione di tutti i tab e le finestre aperte.
In pratica, questo significa che chiunque possa di fatto studiare l’intera cronologia di navigazione degli utenti Safari e perfino usare queste informazioni per scoprirne l’identità, profilarli e studiarne i comportamenti online. Un buon esempio della faccenda, spiega FingerprintJS, è se qualcuno effettua il login su YouTube, Google Calendar o Google Keep. Questi servizi infatti includono nel nome lo User ID Google che può essere utilizzato poi per risalire a nome e cognome dell’utente e alla sua immagine del profilo.
Chi è affetto del bug?
Il bug è presente in Safari 15, sia su iOS 15/iPadOS 15 che su macOS Monterey, e purtroppo -su iOS 15- colpisce anche Chrome e tutti gli altri browser di terze parti, poiché per architettura debbono sfrutta Webkit. Curiosamente, non era presente su Safari 14 per Mac e versioni precedenti.
Come risolvere?
La buona notizia è che Apple è già sicuramente al lavoro per risolvere il problema; la cattiva, è che impostare la navigazione privata non è sufficiente. Su macOS Monterey base utilizzare un browser alternativo, come Firefox, Edge o Chrome. Su iOS invece, l’unica soluzione è attendere un update da Apple che dovrebbe arrivare a stretto giro di posta.