Bug do Safari vaza informações da sua conta do Google

Bug do Safari vaza informações da sua conta do Google. Falha na API IndexedDB pode resultar em vazamento de atividade de navegação e até identidades de usuários.

Há um problema com a implementação da API IndexedDB no mecanismo WebKit do Safari, que pode resultar em vazamento de atividade de navegação em tempo real e até identidades de usuários para quem explorar essa falha.

IndexedDB é uma API de navegador amplamente usada que é um sistema de armazenamento versátil do lado do cliente sem limites de capacidade.

Normalmente, ele é implantado para armazenar em cache dados de aplicativos da Web para visualização offline, enquanto módulos, ferramentas de desenvolvimento e extensões de navegador também podem usá-lo para armazenar informações confidenciais.

Para evitar vazamentos de dados de ataques de script entre sites, o IndexedDB segue a política de “mesma origem”, controlando quais recursos podem acessar cada parte dos dados.

No entanto, os analistas do FingerprintJS descobriram que a API IndexedDB não segue a política de mesma origem na implementação do WebKit usada pelo Safari 15 no macOS, levando à divulgação de dados confidenciais.

Esse bug de violação de privacidade também afeta os navegadores da Web que usam o mesmo mecanismo de navegador nas versões mais recentes do iOS e iPadOS.

O problema no Safari 15

Ao violar a política de mesma origem, a implementação do IndexedDB no Safari 15 no iOS, iPadOS e macOS permite que qualquer site desenhe os nomes dos bancos de dados criados na mesma sessão.

Como os nomes dos bancos de dados geralmente são exclusivos e específicos do site, isso é essencialmente como vazar o histórico de navegação para qualquer pessoa.

Para piorar a situação, alguns nomes de banco de dados apresentam identificadores específicos do usuário (após o login), portanto, esse vazamento de API pode levar à identificação do usuário.

Impacto e mitigação

Segundo os analistas, identificar alguém por meio dessa falha requer fazer login e visitar sites populares como YouTube e Facebook, ou serviços como Google Calendar e Google Keep.

Fazer login nesses sites cria um novo banco de dados IndexedDB e anexa o ID de usuário do Google em seu nome. Quando várias contas do Google são usadas, bancos de dados individuais são criados para cada uma delas.

Verificamos as páginas iniciais dos 1000 sites mais visitados da Alexa para entender quantos sites usam IndexedDB e podem ser identificados exclusivamente pelos bancos de dados com os quais interagem“, menciona o relatório FingerprintJS .

Os resultados mostram que mais de 30 sites interagem com bancos de dados indexados diretamente em sua página inicial, sem nenhuma interação adicional do usuário ou a necessidade de autenticação.

Suspeitamos que esse número seja significativamente maior em cenários do mundo real, pois os sites podem interagir com bancos de dados em subpáginas, após ações específicas do usuário ou em partes autenticadas da página”.

Em alguns casos em que os sub-recursos criam bancos de dados UUID (identificadores universalmente exclusivos), os sistemas de prevenção de rastreamento do Safari intervêm para bloquear o vazamento de informações. Esse efeito positivo de mitigação lateral é ainda mais aprimorado se forem usadas extensões de bloqueio de anúncios.

O modo privado no Safari 15 ainda é afetado, mas cada sessão de navegação é restrita a uma única guia. Portanto, a extensão das informações que podem ser potencialmente vazadas é pelo menos limitada aos sites visitados por meio dessa guia.

Observe que, como isso é um problema no WebKit, qualquer navegador que use esse mecanismo específico (por exemplo, Brave ou Chrome para iOS) também é vulnerável.

Para determinar o impacto do bug em seu navegador, você pode visitar esta página de demonstração , que reproduz o vazamento da API.

Safari no iPadOS 15.2 vazando histórico de navegação
Safari no iPadOS 15.2 vazando histórico de navegação (Bleeping Computer)

A vulnerabilidade foi relatada ao WebKit Bug Tracker em 28 de novembro de 2021 e, no momento em que escrevo isso, ainda não foi abordada.

Uma maneira de mitigar o problema até que as atualizações de segurança estejam disponíveis é bloquear todo o JavaScript, mas essa é uma medida drástica que pode causar problemas de funcionalidade em muitas páginas da web.

Mudar para um navegador da Web não baseado em WebKit é a única solução viável, mas só se aplica ao macOS. Nos iOS e iPadOS, todos os navegadores da Web são afetados.

Fonte: BleepingComputer

Veja também:

Sobre mindsecblog 1772 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Seja o primeiro a comentar

Deixe sua opinião!