Um bug critico encontrado no navegador Safari da Apple na implementação do WebKit de uma API JavaScript chamada IndexedDB pode vazar o histórico de navegação e até mesmo a identidade dos usuários.
A falha foi relatada pelo serviço de impressão digital de navegador da FingerprintJS, uma empresa que trabalha na prevenção de fraudes digitais, e reportada ao suporte da Apple em 28 de novembro de 2021.
De acordo com um relatório da FingerprintJS atualizado hoje (17), os engenheiros da Apple começaram a trabalhar no bug e o marcaram como resolvido.
No entanto, os engenheiros da FingerprintJS afirmam que "o bug continua a persistir para os usuários finais", sugerindo que as correções ainda não foram lançadas pela Apple.
O bug encontrado no Safari é uma vulnerabilidade de segurança que permite qualquer site que use IndexedDB acessar os bancos de dados do mesmo tipo gerados por outros sites durante a sessão de navegação de um usuário.
Além disso, esta falha de segurança também permite que um site rastreie outros sites que o usuário visita em diferentes guias ou janelas.
Normalmente, o comportamento correto seria que os sites só pudessem acessar seus próprios bancos de dados IndexedDB.
Em alguns casos, os sites usam identificadores específicos de usuário exclusivos em nomes de banco de dados IndexedDB.
Por exemplo, o YouTube cria bancos de dados que incluem o ID de usuário do Google autenticado, esse identificador pode ser usado com APIs do Google para buscar informações pessoais do usuário, como uma foto de perfil.
Essas informações pessoais podem ser usadas por um agente mal-intencionado para descobrir a identidade de um usuário.
O bug afeta versões mais recentes de navegadores que usam o mecanismo de navegador de código aberto WebKit da Apple, incluindo Safari 15 para Mac e todas as versões do Safari para iOS 15 e iPadOS 15.
Como a Apple exige que todos os navegadores para iPhone e iPad utilizem o WebKit, este bug também afeta outros navegadores de terceiros como o Google Chrome.
Segundo a FingerprintJS, as versões mais antigas do Safari como a 14, não são afetadas pelo bug. Mas, observa que não é necessário nenhuma ação do usuário para um site acessar seus dados por outros sites.
"Uma guia ou janela que é executada em segundo plano e consulta continuamente a API IndexedDB para bancos de dados disponíveis pode aprender quais outros sites um usuário visita em tempo real", disse o FingerprintJS em um post blog.
"Como alternativa, os sites podem abrir qualquer site em um iframe ou janela pop-up para acionar um vazamento baseado em IndexedDB para esse site específico", acrescentou.
O relatório ainda afirma que utilizar o modo de navegação privada não protege o usuário contra o bug nas versões afetadas do Safari.
Os usuários precisarão esperar que a Apple lance um patch de segurança com atualizações de software, até lá, a única solução alternativa é usar um navegador diferente no Mac.
Mas, como todos os navegadores são afetados pelo bug do WebKit no iPhone e iPad, trocar de navegador nesses dispositivos não resolveria o problema.
Via: FingerprintJS