Portal ApoTech

Notícias Segurança

Bug no Safari da Apple expõe navegação de usuários e ID de contas

A companhia deverá lançar uma solução para a vulnerabilidade na próxima atualização do Safari

Bug no Safari da Apple expõe navegação de usuários e ID de contas
Use este espaço apenas para a comunicação de erros nesta postagem
Máximo 600 caracteres.
enviando

Apple está corrigindo um bug no navegador Safari 15 que permite que terceiros tenham acesso a dados de contas do Google (Google ID) e ao histórico de navegação do usuário, informações importantes que podem comprometer a identidade de pessoas.

De acordo com um commit do WebKit no GitHub, a companhia deverá lançar uma solução para a vulnerabilidade na próxima atualização do Safari, que chegará para os sistemas macOS Monterey, iOS 15 e iPadOS 15. Entretanto, segundo o site MacRumors, a Apple não comentou sobre o prazo para disponibilizar o update.

Vulnerabilidade no Safari 15 permite que sites maliciosos acessem informações sobre navegação em outros sites, mesmo nas janelas anônimasVulnerabilidade no Safari 15 permite que sites maliciosos acessem informações sobre navegação em outros sites, mesmo nas janelas anônimasFonte:  Apple/Reprodução 

Vulnerabilidade na API IndexedDB

O bug no Safari foi divulgado no final da semana passada pela empresa de segurança FingerprintJS. Segundo a análise dos especialistas, a causa da fragilidade no sistema vem da API IndexedDB. Essa API é usada pelos principais navegadores para armazenamento de dados do usuário, mas a forma como a Apple utilizou o software deve ter ocasionado a vulnerabilidade conhecida.

Como explicado pela FingerprintJS, a implementação da API IndexedDB exige que o navegador siga uma "política de mesma origem", norma que limita o acesso de informações pelos sites. Com essa medida, websites não conseguem consultar dados que não foram gerados por eles mesmos.

Entretanto, foi descoberto que o navegador da Apple — para dispositivos macOSiOS iPadOS — está violando essa norma. O bug permite que, sempre que um site interage com a API, um novo banco de dados vazio e com o mesmo nome seja criado nas outras guias e janelas ativas do navegador. Dessa maneira, websites podem ter acesso ao histórico de navegação do usuário, sabendo quais outros endereços eletrônicos aquela pessoa acessa.


Vídeo explica como vulnerabilidade afeta o Safari 15 e expõe informações de usuários.

O problema se torna maior quando alguns sites possuem em seu banco de dados identificadores específicos de contas pessoais. Isso é, sites que compartilham as mesmas credenciais de autenticação, como Gmail YouTube, têm o mesmo ID de usuário do Google. Esse ID é um identificador interno da empresa que está relacionado a uma única conta, tornando mais fácil que sites maliciosos identifiquem quem é o usuário.

Segundo as informações sobre o bug, até mesmo a navegação por janelas anônimas pode ser perigosa, isso caso o usuário abra links e novas guias através da janela principal. Por enquanto, utilizadores do Safari devem esperar pela correção por parte da Apple e usar outros navegadores nesse tempo, mesmo que eles também possam estar vulneráveis por utilizar o mesmo motor de renderização do Safari (WebKit).

Aviso: Esse conteúdo não reflete a opinião do nosso portal e a sua fonte é www.tecmundo.com.br

Veja também

Envie sua mensagem para nossa Central de Atendimento.