Proteger adequadamente uma API é extremamente importante. Em agosto de 2021, a configuração padrão nos portais do Microsoft Power Apps resultou no vazamento de 38 milhões de registros devido a uma API pública contendo informações confidenciais. Agora, pesquisadores de segurança descobriram um bug semelhante na API do Safari 15 que pode vazar seus dados pessoais.
Os pesquisadores de segurança da FingerprintJS descobriram um problema na implementação da API IndexedDB, que deve seguir um mecanismo de segurança de mesma origem pelo qual bancos de dados indexados, scripts e documentos de uma origem não devem interagir com objetos de outra origem.
No entanto, IndexedDB viola essa política. Os pesquisadores observaram que toda vez que um site entra em contato com o banco de dados, o Safari 15 no macOS e todas as versões do navegador no iOS e iPadOS 15 criam um banco de dados novo e vazio, mas compartilhado em todas as guias, quadros e janelas ativos no navegador. a mesma sessão do navegador. Para piorar a situação, esse banco de dados duplicado de fontes diferentes é criado com o mesmo nome do original, o que significa que é mais fácil para o autor do site malicioso determinar a privacidade dos dados que você está acessando.
Analistas de segurança notaram que alguns sites, como YouTube, Google Calendar e Google Keep, criam bancos de dados com base em identificadores, como um ID de usuário do Google, que pode ser usado para rastrear e vincular dados heterogêneos pertencentes a indivíduos. A postagem do blog menciona que:
Observe que esses vazamentos não exigem nenhuma ação específica do usuário. Uma guia ou janela em execução em segundo plano que consulta constantemente a API IndexedDB para bancos de dados disponíveis pode saber quais outros sites o usuário está visitando em tempo real. Além disso, os sites podem abrir qualquer site em um iframe ou pop-up para causar um vazamento baseado em IndexedDB para esse site específico.
Essencialmente, qualquer site que use IndexedDB é afetado, o que também significa que a privacidade dos usuários desses sites está em risco. Para piorar a situação, mesmo as pessoas que usam o Safari no modo privado não são seguras, embora o fato de o modo privado estar limitado a uma guia reduza o potencial de vazamento de dados. No entanto, se você visitar vários sites na mesma guia, seus dados acabarão em todos esses sites.
O FingerprintJS relatou esse problema à Apple em 28 de novembro de 2021, mas o Safari ainda não recebeu uma atualização para esse bug. Os pesquisadores também divulgaram publicamente um código de prova de conceito e uma demonstração do bug, o que também significa que há uma chance maior de invasores explorarem a exploração e que a Apple precisa liberar uma correção o mais rápido possível.
No momento, a única maneira de se proteger contra vazamento e rastreamento de dados é bloquear todo o JavaScript por padrão, mas isso provavelmente dificultará a navegação na web. As pessoas que usam o macOS também podem alternar temporariamente para um navegador diferente, mas essa solução alternativa infelizmente não funcionará para usuários do iOS, pois todos os navegadores do sistema operacional móvel da Apple são baseados no WebKit, o que significa que também são afetados.
Deixe um comentário