Les iPhone ne sont pas totalement immunisés contre les malwares et les failles de sécurité. Le seul avantage des utilisateurs d’iPhone sur ceux des smartphones Android concurrents, est que Apple connaît bien ses appareils et peut les mettre à jour très rapidement. Ce qui implique que lorsqu’une faille de sécurité est découverte, une mise à jour ne tarde pas à arriver.
Le dernier gros bug en date a été découvert par les chercheurs de FingerprintJS dans le moteur de rendu WebKit utilisé dans Safari et tous les navigateurs web sur les iPhone. Concrètement le problème réside dans l’API IndexedDB qui permet normalement aux sites de stocker des données dans le navigateur. Données qui ne sont normalement accessibles que par le domaine qui les a créé.
Les utilisateurs d’iPhone victimes d’une énorme faille dans Safari (WebKit)
Normalement il est impossible pour un site de consulter les données stockées par un autre domaine dans Safari. Mais une faille dans IndexedDB permet en fait de fuiter des données sensibles issues de nombreux sites que vous visitez. Une démo a été d’ailleurs mise en ligne par les auteurs de la découverte à cette adresse. Les chercheurs expliquent :
“Dans Safari 15 sur macOS et dans tous les navigateurs sur iOS et iPadOS 15, l’API IndexedDB viole la politique d’origine unique des données. Chauqe fois qu’un site interagit avec la base de données, une nouvelle base de donnée vide avec le même nom est en effet créée dans toutes les autres instantanés, onglets et fenêtres ouverts dans le même navigateur, sauf si vous passez sur un autre profil, dans Chrome par exemple, ou passez sur une fenêtre de navigation privée”.
Grâce à cette méthode, de nombreux sites peuvent vous identifier de manière unique même si vous refusez le pistage. Il est facile de découvrir quels comptes sont rattachés à votre profil, en particulier si vous utilisez des systèmes d’authentification uniques comme le SSO Google, Facebook ou Apple. Pour l’heure les utilisateurs n’ont d’autre choix que d’être prudents et de prendre leur mal en patience, surtout sur iPhone.
A cause de la politique d’Apple, en effet, tous les navigateurs utilisent le même moteur de rendu et API. Sur Mac, il reste possible néanmoins d’utiliser un autre navigateur internet pour cesser d’être touché par le problème. Selon FingerprintJS, une solution devrait néanmoins être rapidement proposée. Les ingénieurs Apple travaillent en effet sur un patch depuis dimanche, y ont ajouté d’autres correctifs, et viennent de marquer cette faille comme résolue.
Lire aussi – iPhone : pourquoi cette faille menace gravement la sécurité de l’écosystème
Le lancement d’une petite mise à jour corrective est donc imminent. On vous conseille donc dans les prochains jours de vérifier la présence d’une mise à jour de iOS ou iPadOS sur vos appareils. Dès que c’est le cas, on vous recommande de l’installer au plus vite pour protéger vos données.
📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.
