Descobriu-se que o Safari 15 tem uma vulnerabilidade que está vazando sua atividade de navegação e até mesmo permitindo que atores mal-intencionados conheçam sua identidade. O problema surgiu devido a um bug introduzido na implementação do IndexedDB, que funciona como uma interface de programação de aplicativos (API) para armazenar dados estruturados. Os usuários na versão mais recente do macOS, bem como iOS e iPadOS são afetados pela vulnerabilidade. Embora os usuários do macOS possam superar o impacto mudando para um navegador de terceiros, os usuários do iPhone ou iPad não têm esse remédio no momento.
Conforme relatado inicialmente pelo 9to5Mac, a empresa de detecção de impressão digital e fraude do navegador FingerprintJS descobriu a vulnerabilidade IndexedBD que afeta o Safari 15. A API segue a política de mesma origem que visa restringir documentos e scripts carregados de uma origem para interagir com recursos de outras origens . Isso ajuda um navegador da Web a proteger sua sessão em uma guia do site que você acessou na outra guia.
No entanto, os pesquisadores da FingerprintJS descobriram que a implementação do IndexedDB pela Apple viola a política. Isso resulta na brecha que um invasor pode explorar para obter acesso à sua atividade de navegação ou identidade anexada à sua conta do Google.
“Toda vez que um site interage com um banco de dados, um novo banco de dados (vazio) com o mesmo nome é criado em todos os outros quadros, guias e janelas ativos na mesma sessão do navegador”, disseram os pesquisadores ao explicar a vulnerabilidade.
A falha permite que hackers saibam quais sites você está visitando em diferentes guias ou janelas. Ele também expõe seu ID de usuário do Google a sites diferentes daqueles em que você fez login com sua conta do Google. O ID de usuário do Google permite que sites acessem seus identificadores pessoais, incluindo sua foto de perfil. Eventualmente, os hackers podem analisar esses identificadores explorando a vulnerabilidade do Safari.
A FingerprintJS afirma que o número de sites que podem interagir e obter acesso à atividade de navegação dos usuários e aos identificadores pessoais pode ser significativo. Para demonstrar a falha, uma prova de conceito também foi divulgada pelos pesquisadores.
Você pode usar a demonstração no seu Mac, iPhone ou iPad que tenha o Safari 15 para verificar a vulnerabilidade. Atualmente, ele detecta sites populares, incluindo Alibaba, Instagram, Twitter e Xbox, para sugerir como o banco de dados de um site pode ser vazado para outros. No entanto, o problema não se limita a eles e também pode afetar os usuários que visitam outros sites.
Os usuários que mudam para o modo privado no Safari 15 podem reduzir a extensão das informações disponíveis por meio do vazamento, pois as sessões de navegação privada no navegador são restritas a uma única guia. No entanto, você acabará vazando seus dados se visitar vários sites, um após o outro, na mesma guia.
Os usuários de Mac podem, no entanto, mudar para um navegador de terceiros, como Google Chrome ou Mozilla Firefox, para resolver a brecha de segurança.
No entanto, no iOS, o problema também não se limita apenas ao Safari e não pode ser superado movendo-se para o Chrome ou outro navegador de terceiros. É porque a Apple não permite que navegadores da Web iOS usem um mecanismo de navegador de terceiros no iPhone e no iPad.
Os usuários podem limitar o vazamento de dados desabilitando o JavaScript em seu navegador por enquanto. Mas isso afetará sua experiência, pois a maioria dos sites hoje em dia usa JavaScript para fornecer navegação moderna.
A FingerprintJS relatou o problema ao WebKit Bug Tracker em 28 de novembro. A falha ainda existe, no entanto.
A Gadgets 360 entrou em contato com a Apple para comentar sobre a vulnerabilidade e se está trabalhando em uma correção. Este artigo será atualizado quando a empresa responder.
Vulnerabilidades que afetam o Safari não são algo novo. No ano passado, a Apple teve que relançar seu navegador para corrigir problemas de segurança e bugs que foram introduzidos por uma atualização anterior. A versão mais recente do Safari (versão 15.2), lançada em dezembro, também corrigiu seis problemas de segurança conhecidos do WebKit que existiam nas versões anteriores e poderiam permitir que invasores obtivessem acesso malicioso aos dados do usuário.
Veja as últimas novidades da Consumer Electronics Show no Gadgets 360, em nosso hub CES 2022.
.
source – gadgets.ndtv.com
