um erro em Safári 15 pode filtrar sua atividade de navegação e também pode revelar algumas das informações pessoais anexadas à sua conta do Google, dependendo Descobertas do FingerprintJS, um serviço de detecção de fraude de impressão digital e navegador (via 9to5Mac). A vulnerabilidade decorre de um problema com a implementação da Apple de banco de dados indexado, uma interface de programação de aplicativos (API) que armazena dados em seu navegador.
Como explica o FingerprintJS, IndexedDB está em conformidade com o mesma política de origem, que restringe a interação de uma fonte com dados coletados de outras fontes; essencialmente, apenas o site que gera os dados pode acessá-los. Por exemplo, se você abrir sua conta de e-mail em uma guia e, em seguida, abrir uma página da Web mal-intencionada em outra, a política de mesma origem impedirá que a página mal-intencionada veja e interfira em seu e-mail.
A FingerprintJS descobriu que a implementação da API IndexedDB da Apple no Safari 15 na verdade viola a política de mesma origem. Quando um site interage com um banco de dados no Safari, o FingerprintJS diz que “um novo banco de dados (vazio) com o mesmo nome é criado em todos os outros quadros, guias e janelas ativos na mesma sessão do navegador”.
Isso significa que outros sites podem ver o nome de outros bancos de dados criados em outros sites, que podem conter detalhes específicos de sua identidade. A FingerprintJS destaca que os sites que usam sua conta do Google, como YouTube, Google Calendar e Google Keep, geram bancos de dados com seu ID de usuário exclusivo do Google em seu nome. Seu ID de usuário do Google permite que o Google acesse suas informações publicamente disponíveis, como sua foto de perfil, que o bug do Safari pode expor a outros sites.
Este é um grande erro. No OSX, os usuários do Safari podem (temporariamente) mudar para outro navegador para evitar que seus dados vazem entre as origens. Os usuários do iOS não têm essa opção, porque a Apple impõe uma proibição a outros mecanismos de navegador. https://t.co/aXdhDVIjTT
—Jake Archibald (@jaffathecake) 16 de janeiro de 2022
FingerprintJS criado uma demonstração de prova de conceito você pode testar se tem o Safari 15 e superior no seu Mac, iPhone ou iPad. A demonstração usa a vulnerabilidade IndexedDB do navegador para identificar sites que você abriu (ou abriu recentemente) e mostra como o bug extrai informações do seu ID de usuário do Google. Atualmente, ele detecta apenas 30 sites populares afetados pelo bug, como Instagram, Netflix, Twitter, Xbox, mas é provável que afete muitos mais.
Infelizmente, não há muito o que fazer para corrigir o problema, pois o FingerprintJS diz que o bug também afeta o modo de navegação privada no Safari. Você pode usar um navegador diferente no macOS, mas Proibição do mecanismo de navegador de terceiros da Apple no iOS significa que todos os navegadores são afetados. FingerprintJS relatou o vazamento para o WebKit Bug Tracker em 28 de novembro, mas ainda não houve atualização do Safari. A beira entrou em contato com a Apple com um pedido de comentário, mas não teve resposta imediata.
