Bug da Apple no Safari expõe navegação de usuários do Google em tempo real

Vulnerabilidade que dá acesso a dados de navegação de usuários do Google e outros serviços afeta Safari 15 para Mac, iPhone e iPad

Emerson Alecrim
Por

Uma falha no Safari 15 pode permitir que determinados dados de navegação sejam acessados por terceiros. O problema, detectado pela empresa de segurança FingerprintJS, é preocupante principalmente para usuários que acessam os serviços do Google no navegador, embora também possa afetar Netflix, Twitter, Instagram e outras plataformas.

Safari no iOS 15 (tmagem: Lucas Braga/Tecnoblog)
Safari no iOS 15 (imagem: Lucas Braga/Tecnoblog)

Falha aparece em recurso chamado IndexedDB

A vulnerabilidade envolve a implementação, no Safari, do IndexedDB. Esse é o nome de uma API que possibilita o armazenamento de dados estruturados importantes para uma infinidade de aplicações web. O recurso é tão relevante que é suportado por todos os principais navegadores do mercado.

O Safari não é exceção. Porém, a implementação do IndexedDB exige que o navegador siga a política da “mesma origem”, que determina que os dados armazenados sejam acessados somente pelo site que os gerou. Se um site puder acessar dados gerados por outro site, tem-se uma violação e, portanto, uma falha de segurança. É justamente o que acontece com o navegador da Apple, em todas as plataformas (macOS, iOS e iPadOS).

Basicamente, o bug permite que uma página maliciosa rastreie e identifique os nomes usados por outros sites no banco de dados do IndexedDB. Como? Quando um site interage com o IndexedDB, um novo banco de dados é criado com o mesmo nome, mas vazio, dentro das outras abas e janelas abertas no Safari.

Com isso, páginas maliciosas podem ser criadas para descobrir quais sites o usuário está visitando nas outras abas ou janelas. Existe um agravante: alguns serviços incluem nos nomes do banco de dados um identificador exclusivo da conta do usuário.

Se essa informação for descoberta, é possível, em tese, criar um mecanismo que busca dados públicos da pessoa associada à conta. Esse macete pode ser usado, por exemplo, para coletar a foto de um usuário. A partir daí, uma conta falsa em uma rede social ou em um serviço de mensagens pode ser criada em nome dessa pessoa, só para dar um exemplo do potencial de dano do problema.

Usuários do Google podem ser afetados

De acordo com a FingerprintJS, serviços do Google estão entre os que usam um identificador do usuário no IndexedDB, tanto que uma demonstração do bug foi feita com base no YouTube. Mas, como já dito, outros serviços também podem ser afetados, como Netflix e Twitter.

Note que, para ser explorada, a vulnerabilidade não exige que o usuário execute nenhuma ação. O simples acesso a uma página maliciosa pode dar início ao procedimento, mesmo que ela abra em um pop-up ou em um iframe, por exemplo.

YouTube video

Como se prevenir

Utilizar a navegação anônima do Safari é uma opção, mas paliativa, pois, mesmo nesse modo, a falha pode ser explorada se você acessar várias páginas a partir da mesma guia.

Usar outro navegador, temporariamente, também é uma alternativa, mas novamente dentro de certos limites: no iOS e iPadOS, os navegadores concorrentes, a exemplo do Chrome, devem ser baseados no WebKit (o motor de renderização do Safari), razão pela qual também podem ser vulneráveis nessas plataformas.

A solução em si depende da Apple. A falha só ficará no passado quando uma correção for liberada. Felizmente, o update não deve demorar para sair: a FingerprintJS afirma que a Apple foi notificada a respeito e que desenvolvedores da companhia marcaram, no relatório, que o problema já foi solucionado. Resta aguardar pela atualização.

Relacionados

Relacionados