Le problème a été découvert par la société FingerprintJS, spécialisée dans la détection de fraudes en ligne. Il réside dans la manière dont le navigateur se sert de l’API IndexedDB pour la création de bases de données locales. Il touche tous les navigateurs sur iOS et iPadOS, les butineurs tiers ayant l’obligation de passer par Safari pour le rendu des pages.

Quand un site accède à sa base de données, une copie vide de cette dernière devient accessible aux autres onglets et fenêtres. Or, même si ces bases sont vides, leur nom mentionne le plus souvent les sites qui les ont créées.

Un site sachant où chercher peut donc récupérer une partie de l’historique, voire des informations identifiantes. Car, comme le souligne FingerprintJS, une société comme Google se sert d’un matricule correspondant au compte utilisateur pour nommer ses bases IndexedDB.

Toujours selon les découvreurs, il faut attendre qu’Apple corrige le problème de son côté, le bug étant présent dans le Bug Tracker de Webkit depuis fin novembre déjà. Le mode navigation privée ne change rien, et seule la désactivation de JavaScript stoppe le problème.

Une page a été créée pour démontrer le souci. Nommée SafariLeaks, elle montre aux utilisateurs les sites visités s’ils exploitent IndexedDB. Une méthode de collecte qui peut bien sûr servir au fingerprinting.