De acordo com descobertas de FingerprintJS, um serviço de detecção de fraude e impressão digital do navegador, um bug no Safari 15 pode revelar sua atividade online e algumas informações pessoais vinculadas à sua conta do Google (via 9to5Mac). O problema está relacionado com a implementação da Apple de BD indexado, uma API que armazena dados em seu navegador.
IndexedDB, como todos os bancos de dados da Web, adere à política de mesma origem, o que significa que uma origem não pode interagir com dados gerados em outras origens. A política de mesma origem impede que uma página maliciosa visualize e adultere seu e-mail se você abrir sua conta de e-mail em uma guia e visitar um site prejudicial em outra.
O bug do Safari que expõe seu ID de usuário do Google a outros sites
A implementação da API IndexedDB pela Apple no Safari 15, de acordo com o FingerprintJS, viola a política de mesma origem. Quando um site interage com um banco de dados no Safari, o FingerprintJS afirma que “um novo banco de dados (vazio) com o mesmo nome é criado em todos os outros quadros, guias e janelas ativos na mesma sessão do navegador”.
Isso indica que outros sites podem visualizar os nomes de outros bancos de dados desenvolvidos em outros sites, que podem conter informações específicas de sua identidade. O FingerprintJS identifica sites que usam sua conta do Google, como YouTube, Google Calendar e Google Keep, entre outros. Como seu ID de usuário do Google permite que o Google acesse seus dados disponíveis publicamente, como sua imagem de perfil, a vulnerabilidade do Safari pode expô-lo a outros sites.
Este é um grande erro. No OSX, os usuários do Safari podem (temporariamente) mudar para outro navegador para evitar que seus dados vazem entre as origens. Os usuários do iOS não têm essa escolha, porque a Apple impõe uma proibição a outros mecanismos de navegador. https://t.co/aXdhDVIjTT
— Jake Archibald (@jaffathecake) 16 de janeiro de 2022
O governo indiano avisa os usuários do Chrome sobre um problema de segurança
FingerprintJS criado uma demonstração de prova de conceito você pode avaliar se possui o Safari 15 ou superior no seu Mac, iPhone ou iPad. A demonstração usa a falha IndexedDB do navegador para identificar os sites que você abriu (ou abriu recentemente) e como os sites que aproveitam a falha podem coletar informações do seu ID de usuário do Google. Atualmente, ele detecta apenas 30 sites importantes que são afetados pelo bug, como Instagram, Netflix, Twitter e Xbox, mas é provável que afete muito mais.
Infelizmente, não há muito o que fazer sobre isso porque o bug também afeta o modo de navegação privada no Safari. Você pode utilizar um navegador diferente no macOS, mas todos os navegadores são afetados pela proibição do mecanismo de navegador de terceiros da Apple no iOS. Em 28 de novembro, o FingerprintJS relatou o vazamento ao WebKit Bug Tracker, mas ainda não houve uma atualização para o Safari.