Um novo bug no Apple Safari pode vazar seu histórico de navegação
Um bug no maçã O navegador Safari está permitindo que sites acessem o histórico de navegação dos usuários e outras informações pessoais. Com as recentes atualizações para iOS, a Apple vem corrigindo muitos bugs e vulnerabilidades. Em novembro 2021, A Apple lançou o iOS 15.1 com SharePlay e ProRes Video para modelos de iPhone 13 Pro. No entanto, foi relatado que continha duas vulnerabilidades de dia zero não corrigidas, que foram consideradas ativamente exploradas. Além disso, a versão pública da atualização foi carregada com bugs, incluindo problemas de conectividade com o AirPods Pro e o recurso Desbloquear com o Apple Watch.
A atualização recente do iOS 15.2.1 também contém uma correção para um bug do HomeKit. Conforme mencionado na sinopse do bug no relatório de Spiniolas, alterar o nome de um dispositivo HomeKit para uma string contendo muitos caracteres levará à interrupção do dispositivo, deixando-o inutilizável. No entanto, desde A Apple corrigiu o problema com sua última atualização, os usuários são aconselhados a atualizar para a versão mais recente do iOS.
FingerprintJS relata que o Safari 15 no macOS e todos os navegadores no iOS e iPadOS 15 são vulneráveis ao bug. A API IndexedDB usada nesses navegadores da Web não adere à política de mesma origem que impede que scripts ou documentos de uma origem acessem informações de outras fontes. Devido ao bug, toda vez que um site interage com o banco de dados local que armazena informações sobre o usuário e seus atividade de navegação, um banco de dados vazio com um nome semelhante é criado para todas as outras guias e janelas ativas durante o sessão. Acessando esses "bancos de dados duplicados de origem cruzada" um domínio pode obter as informações que violam a privacidade dos usuários. Em palavras simples, o bug permite que os sites acessem as informações de navegação dos usuários e o histórico relacionado a outros sites no Navegador Apple Safari.
O bug também pode revelar o ID do Google dos usuários
Aqueles que usam dispositivos Apple, como iPhone, iPad ou MacBook, podem experimentar a demonstração ao vivo do bug aqui. Esta demonstração mostra a violação da política de mesma origem do IndexedDB no mecanismo do navegador usado no Safari, WebKit. Visitar a página de demonstração de um dispositivo macOS exibirá o número de nomes de banco de dados (o número de guias ativas em uma sessão de navegação) e uma lista de sites do histórico de navegação recente dos usuários. Infelizmente, isso não é tudo. O bug também permite que sites nefastos acessem o ID do Google que pode estar vinculado ao navegador, o que pode revelar a identidade do usuário e outros detalhes pessoais. Visitando a página de demonstração de um Windows 10 ou Windows 11 alimentado laptop diz claramente "seu navegador não é afetado" e não exibe nenhum site ou outros detalhes.
Em pesquisas adicionais, a FingerprintJS descobriu que mais de 30 sites nos 1.000 sites mais visitados do Alexa acessaram os bancos de dados indexados sem o consentimento dos usuários. Além disso, o modo privado do Safari 15 também parece ser afetado pelo bug. Além disso, não há muito que os usuários possam fazer para se proteger contra o bug. Atualizando seu relatório inicial, o FingerprintJS também mencionou que os engenheiros da Apple começaram a trabalhar no bug no domingo, 1º de janeiro. 16, 2022. No entanto, o bug ainda está presente no Safari 15 para macOS e todos navegadores da web no iOS e iPadOS 15, e continuará a fazê-lo na ausência de uma correção lançada pela maçã.
Fonte: FingerprintJS, Vazamentos do Safari
Como ativar o modo escuro do YouTube e por que você deveria