Bug do Safari 15 pode divulgar histórico de navegação e identificadores pessoais

Para além do histórico de navegação, este bug no Safari também pode divulgar outras informações, como ID da Google.

De acordo com o FigerprintJS, um serviço de fingerprinting de browsers e detecção de fraudes, um bug na versão 15 do browser Safari da Apple, pode divulgar o histórico de navegação e várias informações ligadas à sua conta Google. Esta vulnerabilidade é causada pela implementação que a Apple fez da API (Application Programing Interface) IndexedDB, que guarda informação no browser.

Segundo a explicação do FingerprintJS, a IndexedDB obedece a uma política que restringe uma origem de interagir com dados que foram recolhidos a parti de outras origens – simplificando, apenas o site que gera um conjunto de dados pode aceder a esses dados. Por exemplo, se abrir a sua conta de email num separador e depois abrir uma página de um site malicioso noutro separador, esta política de funcionamento impede o site malicioso de ver os dados da sua conta de email.

O que foi descoberto pelo FigerprintJS, foi que a implementação da API IndexedDB feita pela Apple no Safari 15 viola esta política. Quando um site interage com uma base de dados no Safari, é criada uma nova base de dados vazia com o mesmo nome em todos os separadores e janelas, que estão abertas nessa sessão do browser.

Isto quer dizer que, outros sites podem ver o nome de outras bases de dados que são criadas pelos vários sites abertos e estas bases de dados podem conter detalhes da identidade do utilizados. O FigerprintJS indica que sites que usem uma conta Google, como o Youtube, Google Calendar e Google Keep, geram todos bases de dados que contêm o ID Google do utilizador no nome. O Google ID permite à empresa aceder a informações do utilizador que estão disponíveis publicamente, como a fotografia de perfil, que pode ser exposta a outros sites através deste bug do Safari.

Os responsáveis pelo FigerprintJS, criaram uma demonstração que mostra como este bug afecta o Safari 15 ou superior no Mac, iPhone e iPad. A demonstração usa a vulnerabilidade detectada pelo IndexedDB, para identificar os sites que estão abertos no momento (ou que foram abertos recentemente) e mostra como os sites que explorem este pug conseguem obter informação a partir de um ID Google. Neste momento, a demonstração detecta apenas os 30 sites mais populares que são afectados pelo bug, incluindo o Instagram, Netflix, Twitter e Xbox.

Infelizmente, o utilizador não pode fazer muito para tentar resolver este problema, porque afecta todos os modos de funcionamento do Safari, incluíndo o modo anónimo. Se usar um Mac, o utilizador pode sempre mudar de browser, mas a proibição de utilização de motores de browsers diferentes no iOS, quer dizer que todos os browsers para os dispositivos móveis da Apple são afectados. O bug foi reportado no WebKit Bug Tracker a 28 de Novembro do ano passado, mas ainda não foi lançada nenhuma actualização para o Safari para o resolver.

PCGuia
Recomendadas

IA e IoT: que futuro tem a área em Portugal? Veja em direto a JE Talks

Com 650 milhões em investimento destinados à transição digital previstos no PRR, como estão as empresas portuguesas a adotar a Inteligência Artificial? Veja a JE Talks em direto e leia o especial dedicado ao mesmo tema na edição desta sexta-feira do JE.

Pedro Santa Clara leva Escola de programação 42 para o Porto com abertura já em junho

A Critical Techworks e a SaltPay são parceiros fundadores da 42 Porto. As candidaturas já estão abertas e requerem que os candidatos tenham, pelo menos, 18 anos. As propinas são pagas pelos mecenas.

O que pode a tecnologia fazer pelas sociedades de advogados? Veja em direto a JE Talks

Os avanços digitais e tecnológicos não passam despercebidos ao sector da advocacia. Tecnologias como a blockchain, IA e machine-learning oferecem disrupção e eficiência aos processos, mas também trazem desafios. Veja a JE Talks em direto e leia o especial dedicado ao mesmo tema na edição desta sexta-feira do JE.
Comentários