Bug não corrigido do Safari 15 no MacOS, iOS 15 e iPadOS 15 encontrados para expor o histórico de navegação e as informações da conta do Google
Os usuários do Safari em MacOS e iOS podem estar vulneráveis a uma séria violação de privacidade. Existe um erro na implementação do Safari 15 do IndexedDB, que permite a qualquer site ler entradas de banco de dados não apenas do seu próprio, mas também de outros sites. Portanto, informações como as cadeias de identificação de usuários do Google podem ser vistas por terceiros não autorizados, comprometendo potencialmente a identidade de alguém.
Todos os navegadores usam um IndexedDB ou um banco de dados indexado para armazenar quantidades significativas de dados no armazenamento do cliente para rápida recuperação. Cada navegador determina seus próprios limites de espaço a ser alocado ao IndexedDB e elimina automaticamente os dados conforme esses limites se aproximam, com base em critérios definidos. O IndexedDB é acessado através de uma API de baixo nível, que geralmente é abstraída para uma API mais amigável ao desenvolvedor.
No Safari 15, a API do IndexedDB é vista violando a política "de mesma origem". Diz-se que duas URLs têm a mesma origem se utilizarem o mesmo protocolo, porto (se especificado) e host. A mesma origem é um mecanismo crítico de segurança que impede que documentos ou scripts de uma origem interajam com dados ou recursos de outras origens, a menos que seja permitido através do compartilhamento de recursos de origem cruzada (CORS).
De acordo com a FingerprintJS, que relatou o problema pela primeira vez para Apple no próprio dia 28 de novembro, o Safari 15 no MacOS e todos os navegadores no iOS 15 e iPadOS 15 criam um banco de dados vazio com o mesmo nome para todas as janelas e abas ativas cada vez que um site interage com a IndexedDB. Isto significa que um website inteligentemente codificado a partir de uma "origem" diferente pode essencialmente raspar o que o usuário está visitando em qualquer aba ou janelas abertas, a menos que um perfil diferente seja usado. Assim, mesmo as informações em janelas privadas não são seguras.
Websites como o Google e seus serviços criam bancos de dados que incluem o ID de usuário do Google para cada conta logada. Um site malicioso pode simplesmente acionar a abertura de um iframe ou popup e raspar essas informações. Como este ID de usuário é um identificador, ele pode ser potencialmente usado para recuperar os detalhes da pessoa, como a foto do perfil, por exemplo.
Os analistas da FingerprintJS criaram um site de demonstração (safarileaks.com) que mostra o vazamento em ação e funciona para mais de 20 websites abertos em outras abas e janelas no mesmo perfil. Se você estiver logado em sua conta Google na mesma instância, o site de demonstração também revelará seu ID de usuário do Google.
Infelizmente, não há muito que possa ser feito pelo usuário final no momento. Bloquear todo o conteúdo JavaScript é uma solução, mas isso dificulta seriamente a experiência de navegação. Enquanto os usuários no MacOS podem usar um navegador diferente como o Microsoft Edge ou Mozilla Firefox, aqueles no iOS não têm essa opção, já que mesmo os navegadores de terceiros devem usar o Webkit.
Fonte(s)
