Uma falha no Safari pode ser utilizada para revelar o histórico de navegação e potencialmente informações pessoais.
De acordo com uma publicação no blog da FingerprintJS feita no sábado, foi identificado um problema no Safari 15 relacionado à API de banco de dados indexado (IndexedDB), que faz parte do WebKit, o motor de desenvolvimento de navegadores web da Apple. Em termos simples, o IndexedDB é utilizado para armazenar dados em seu dispositivo, como histórico de sites visitados, para acelerar o carregamento quando você os acessa novamente.
O IndexedDB segue um mecanismo de segurança semelhante ao das políticas, o qual restringe a interação entre sites, permitindo apenas a comunicação entre aqueles que compartilham o mesmo nome de domínio, entre outras exigências. Isso pode ser comparado a estar em quarentena e só poder interagir com membros da sua própria casa. Assim, por exemplo, a Netflix não pode acessar os dados armazenados no IndexedDB para descobrir se você está assistindo conteúdo do YouTube de forma não autorizada.
Infelizmente, a falha de segurança descoberta pelo FingerprintJS faz com que o IndexedDB viole a política de mesma origem, permitindo que dados coletados sejam expostos a sites que não os coletaram. Além disso, alguns sites, como os da rede do Google, utilizam identificadores exclusivos específicos do usuário nos dados armazenados no IndexedDB. Isso significa que, se você estiver logado em uma Conta do Google, os dados coletados podem ser usados para identificar com precisão seu histórico de navegação e os detalhes da sua conta. Caso esteja conectado a mais de uma conta, essa informação também pode ser revelada.
“De acordo com o FingerprintJS, essa situação não apenas possibilita que sites não confiáveis ou maliciosos descubram a identidade de um usuário, mas também viabiliza a associação de múltiplas contas distintas utilizadas pela mesma pessoa. Além disso, eles divulgaram uma demonstração ilustrando o tipo de dados que o exploit pode expor.”
A empresa FingerprintJS identificou um problema no final de novembro, porém a Apple ainda não o corrigiu. O site Mashable entrou em contato com a Apple em busca de comentários.
Todas essas questões são alarmantes, porém, no momento, suas opções de ação são limitadas. Usar a navegação privada no Safari pode ajudar a reduzir os possíveis problemas, pois uma aba privada não consegue monitorar o que está ocorrendo em outras abas, seja elas privadas ou públicas. Mesmo assim, essa medida não é totalmente segura.
“[…] se você acessar múltiplos sites diferentes em uma única aba privada, todos os bancos de dados com os quais esses sites se comunicam são expostos para todos os sites visitados posteriormente”, afirmou o FingerprintJS.
Os usuários de Mac têm a opção de se proteger da vulnerabilidade trocando o Safari por um navegador alternativo, porém os usuários de iOS ou iPadOS não têm essa alternativa. Embora somente o Safari tenha sido afetado no Mac, devido à exigência da Apple de que todos os navegadores iOS e iPad usem o WebKit, o problema do bug IndexedDB afeta todos os navegadores nesses sistemas. A única opção atual é aguardar um patch da Apple, mudar para um dispositivo Android ou simplesmente evitar usar o navegador.
Proteção contra ameaças online
