Uma vulnerabilidade no Safari pode permitir o vazamento dos dados de uma conta Google logada e o histórico de navegação do usuário, se explorada por cibercriminosos. Ela foi descoberta pelo FingerprintJS, que revelou os detalhes na sexta-feira (14).
O problema está na implementação da API IndexedDB no mecanismo WebKit do Safari no iOS e no macOS, de acordo com o serviço de detecção de fraude e impressão digital. Essa interface de programação de aplicativos armazena os dados no browser e restringe o acesso a eles ao site no qual foram gerados.
Porém, um erro neste sistema permite a violação da política de “mesma origem”, possibilitando que um site veja as bases geradas por outros, além dos seus próprios, em caso de exploração. Os serviços do Google, por exemplo, armazenam uma instância IndexedDB para cada conta conectada, com o nome do banco de dados correspondente ao ID do usuário.
O problema afeta as versões do Safari para iPad, iPhone e Mac.Fonte: Apple/Divulgação
Ao aproveitar a brecha, um site malicioso pode realizar a raspagem de dados relacionados aos serviços da gigante das buscas e descobrir várias outras informações sobre uma determinada pessoa, segundo os especialistas. Nos testes feitos por eles, foi possível acessar até a foto de perfil do usuário.
Problema não corrigido
De acordo com o FingerprintJS, a falha no Safari foi reportada à Apple no dia 28 de novembro passado, mas até agora não há correção. Enquanto isso, a melhor forma de mitigar o problema é escolher um navegador não baseado em WebKit, mas isso só funciona no macOS — todos os browsers são afetados no iOS e no iPadOS, pois usam o motor do navegador da Maçã.
Outra opção está em bloquear o JavaScript por padrão, permitindo-o apenas em sites confiáveis. Porém, essa medida mais drástica pode afetar bastante a navegação, restando como alternativa esperar a correção pela Apple, atualizando o browser assim que ela for lançada.
Fontes