Este bug do Safari pode estar vazando seu histórico de navegação recente

Foi descoberto que um bug do Safari 15 pode divulgar seu histórico de navegação recente e até mesmo algumas informações de contas do Google conectadas.

Uma postagem do blog de FingerprintJS (através da 9to5mac) revelou que um enorme bug no Safari 15 pode vazar seu histórico de navegação recente do aplicativo.

Qualquer pessoa que tenha vinculado sua conta do Google ao Safari também pode correr o risco de suas informações pessoais serem reveladas também.

Esta vulnerabilidade foi associada a um problema com a forma como a Apple implementa BD indexado, que é uma interface de programação de aplicativos (API) que armazena dados em seu navegador.

O bug significa que um site pode ver os nomes dos bancos de dados de qualquer domínio no Mac e iOS, não apenas no seu próprio. Usando os nomes, os sites podem extrair informações de identificação de uma tabela de pesquisa.

Kaspersky Total Security – 50% de desconto

Proteção total em um só produto

Obtenha a sensação incomparável de segurança com proteção premiada contra hackers, vírus e malware. Além de proteção de pagamento e ferramentas de privacidade que protegem você de todos os ângulos. Inclui VPN grátis, gerenciador de senhas e Kaspersky Safe Kids. Agora com 50% de desconto a partir de apenas £ 19,99 por mês

instagram viewer

Kaspersky
50% de desconto
£ 19,99 por mês

Ver oferta

Por exemplo, se você abrir seu e-mail em uma página da Web e depois abrir outra página da Web que é maliciosa, o aplicativo da Apple da API significa que o site malicioso pode visualizar seu e-mail e extrair seu ID de usuário do Google, que pode ser usado para obter mais informações sobre vocês.

Este é um grande erro. No OSX, os usuários do Safari podem (temporariamente) mudar para outro navegador para evitar que seus dados vazem entre as origens. Os usuários do iOS não têm essa escolha, porque a Apple impõe uma proibição a outros mecanismos de navegador. https://t.co/aXdhDVIjTT
— Jake Archibald (@jaffathecake) 16 de janeiro de 2022

Normalmente, uma política chamada política de mesma origem impediria que isso acontecesse, pois restringe uma origem de interagir com dados coletados em outro lugar; em outras palavras, se você abrir seu e-mail e, em seguida, um site malicioso, o site perigoso não terá como acessar seu e-mail ou outras páginas da Web com as quais você interage.

FingerprintsJS também zombou de um demonstração de prova de conceito, que nos mostra uma tabela de pesquisa de cerca de 30 nomes de domínio que incluem a vulnerabilidade IndexedDB do navegador, incluindo Netflix, Twitter e Xbox. Você pode usar o site se tiver o Safari em qualquer dispositivo da Apple para ver os sites que abriu recentemente e ver como o bug pode acessar suas informações.

No entanto, foi apontado que a mesma técnica pode ser usada em um conjunto maior de nomes de domínio, com qualquer site que use a API JavaScript IndexedDB agora vulnerável à extração de dados.

Infelizmente, todas as versões atuais do Safari no iOS e Mac estão desprotegidas, com a Apple atualmente não comentando sobre o problema que foi originalmente relatado pelo FingerprintJS em 28 de novembro.

Teremos certeza de mantê-lo atualizado com esse vazamento assim que mais informações forem divulgadas. Entramos em contato com a Apple para um comentário, mas não tivemos resposta no momento em que este artigo foi escrito.

Kaspersky Total Security – 50% de desconto

Proteção total em um só produto