[weglot_switcher]

Bug do Safari 15 pode divulgar histórico de navegação e identificadores pessoais

Para além do histórico de navegação, este bug no Safari também pode divulgar outras informações, como ID da Google.
21 Janeiro 2022, 22h00

De acordo com o FigerprintJS, um serviço de fingerprinting de browsers e detecção de fraudes, um bug na versão 15 do browser Safari da Apple, pode divulgar o histórico de navegação e várias informações ligadas à sua conta Google. Esta vulnerabilidade é causada pela implementação que a Apple fez da API (Application Programing Interface) IndexedDB, que guarda informação no browser.

Segundo a explicação do FingerprintJS, a IndexedDB obedece a uma política que restringe uma origem de interagir com dados que foram recolhidos a parti de outras origens – simplificando, apenas o site que gera um conjunto de dados pode aceder a esses dados. Por exemplo, se abrir a sua conta de email num separador e depois abrir uma página de um site malicioso noutro separador, esta política de funcionamento impede o site malicioso de ver os dados da sua conta de email.

O que foi descoberto pelo FigerprintJS, foi que a implementação da API IndexedDB feita pela Apple no Safari 15 viola esta política. Quando um site interage com uma base de dados no Safari, é criada uma nova base de dados vazia com o mesmo nome em todos os separadores e janelas, que estão abertas nessa sessão do browser.

Isto quer dizer que, outros sites podem ver o nome de outras bases de dados que são criadas pelos vários sites abertos e estas bases de dados podem conter detalhes da identidade do utilizados. O FigerprintJS indica que sites que usem uma conta Google, como o Youtube, Google Calendar e Google Keep, geram todos bases de dados que contêm o ID Google do utilizador no nome. O Google ID permite à empresa aceder a informações do utilizador que estão disponíveis publicamente, como a fotografia de perfil, que pode ser exposta a outros sites através deste bug do Safari.

Os responsáveis pelo FigerprintJS, criaram uma demonstração que mostra como este bug afecta o Safari 15 ou superior no Mac, iPhone e iPad. A demonstração usa a vulnerabilidade detectada pelo IndexedDB, para identificar os sites que estão abertos no momento (ou que foram abertos recentemente) e mostra como os sites que explorem este pug conseguem obter informação a partir de um ID Google. Neste momento, a demonstração detecta apenas os 30 sites mais populares que são afectados pelo bug, incluindo o Instagram, Netflix, Twitter e Xbox.

Infelizmente, o utilizador não pode fazer muito para tentar resolver este problema, porque afecta todos os modos de funcionamento do Safari, incluíndo o modo anónimo. Se usar um Mac, o utilizador pode sempre mudar de browser, mas a proibição de utilização de motores de browsers diferentes no iOS, quer dizer que todos os browsers para os dispositivos móveis da Apple são afectados. O bug foi reportado no WebKit Bug Tracker a 28 de Novembro do ano passado, mas ainda não foi lançada nenhuma actualização para o Safari para o resolver.

PCGuia


15h51

Lisboa recebe cimeira Portugal-Cabo Verde em novembro

15h27

Santander financia primeiro projeto de habitação acessível promovido por privados

15h19

Europeias: Investigador Francisco Paupério vence primárias do Livre e será cabeça de lista

15h06

Your People lança programa de formação certificada para PME

15h00

O que mudou em 50 anos de democracia?

14h46

Orbán diz que Bruxelas está a “brincar com o fogo” na sua posição sobre o conflito na Ucrânia

14h23

FMI: Correção dos preços das casas em Portugal não será repentina

RECOMENDADO

Copyright © Jornal Económico. Todos os direitos reservados.