O melhor pedaço da Maçã.

Bug no Safari expõe IDs gerados por sites em iPhones, iPads e Macs

ALEX_UGALEK / Shutterstock.com
Close-up do ícone do Safari

Mesmo se apressando nos últimos anos para promover diversos recursos de segurança para o Safari, a Apple se deparou com uma falha grave na atual versão do seu navegador para iPhones, iPads e Macs.

Publicidade

De acordo com uma publicação da FingerprintJS, o Safari 15 tem um grave erro na implementação da IndexedDB, uma API1Application programming interface, ou interface de programação de aplicações. utilizada em vários navegadores para armazenar identificadores de sites durante a navegação.

A implementação dessa API, no entanto, exige algumas medidas de segurança por parte dos desenvolvedores — já que deve haver o cuidado para que os sites tenham acesso apenas aos dados gerados por eles próprios, a fim de tornar a navegação do usuário mais segura.

Nesse sentido, a IndexedDB deve seguir a política de mesma origem — cuja finalidade é impedir que uma origem (um site) interaja com dados coletados por outra origem (outro site). Desta forma, apenas o site que gera os dados é capaz de acessá-los posteriormente.

Publicidade

O uso da API no Safari 15, no entanto, viola essa política, de modo que quando um site interage com um banco de dados originado por ele, um outro banco de dados (vazio) de mesmo nome é criado para todos as outras guias e janelas ativas em uma mesma sessão no navegador.

Assim, ainda que o banco de dados gerado esteja vazio e não contenha conteúdo real que possa ser um possível vazamento de dados, um site consegue ver os dados de identificação gerados pelo outro — e assim sucessivamente.

Um dos sites que faz uso da IndexedDB é o Google, o qual gera um ID de usuário exclusivo para cada conta criada — permitindo que a empresa acesse as informações de determinado usuário mais facilmente entre seus serviços (como o YouTube, o Google Keep, entre outros).

Publicidade

Entre as informações que o Google gera, além desse ID, está a foto de perfil do usuário, a qual pode ser facilmente acessada por outros sites através da API. A FingerprintJS criou até mesmo um site demonstrativo, no qual é possível observar esses dados gerados a partir da concorrente da Apple.

O site também exibe os identificadores de sites acessados recentemente, o que pode dar a um site malicioso um histórico de navegação rudimentar do usuário. Pessoas mal-intencionadas podem, inclusive, montar uma espécie de perfil com os hábitos e sites preferidos de outro usuário.

Contornar esse problema só é possível com a resolução da falha por parte da Apple. No macOS, ainda é possível que o usuário migre para outro navegador enquanto isso não acontece; no iOS e no iPadOS, no entanto, nenhum browser está seguro, já que todos eles usam o WebKit por exigência da Maçã. Navegar na guia anônima também não é uma forma de contornar a falha.

Publicidade

O site responsável pela descoberta afirmou que a Apple foi informada sobre o bug em 28 de novembro do ano passado. Os engenheiros da empresa começaram a trabalhar com uma correção e chegaram até a marcar o problema como resolvido, mas o bug persiste para os usuários finais do Safari até que as correções sejam lançadas em uma atualização futura.

Vamos torcer para que isso aconteça o quanto antes, não é mesmo?


Ícone do app Safari
Safari de Apple
Compatível com iPadsCompatível com iPhones Compatível com o Apple Vision Pro
Versão 2.3 (1 MB)
Requer o iOS 10.0 ou superior
GrátisBadge - Baixar na App Store Código QR Código QR

via The Verge

Notas de rodapé

  • 1
    Application programming interface, ou interface de programação de aplicações.

Ver comentários do post

Compartilhe este artigo
URL compartilhável
Post Ant.

iPhones 13 não suportam cancelamento de ruído em ligações, confirma Apple

Próx. Post

Desenvolvedor usa Raspberry Pi para rodar CarPlay num Tesla

Posts Relacionados