Bug no Safari expõe informações de navegação e dados pessoais dos usuários - OSTEC

This post is also available in: Português

Na sexta-feira, 14, os analistas da FingerprintJS, revelaram detalhes de uma vulnerabilidade no Safari que pode permitir o vazamento dos dados de uma conta Google logada e o histórico de navegação do usuário, caso seja explorada por cibercriminosos.

O problema está na implementação da API IndexedDB no mecanismo WebKit do Safari no iOS e no macOS, que pode resultar no vazamento das atividades de navegação e até a identidade dos usuários. Essa interface de programação de aplicativos armazena os dados no browser e restringe o acesso a eles ao site no qual foram gerados.

Para evitar vazamento de dados de ataques cross site script, o IndexedDB segue a política de “mesma origem”, controlando quais recursos podem acessar cada parte dos dados.

Porém, um erro neste sistema permite a violação nessa política de “mesma origem”, o que possibilita que um site veja as bases geradas por outros, além dos seus próprios, em caso de exploração.

Segundo os especialistas, ao se aproveitar dessa brecha, um site malicioso pode realizar uma varredura de dados relacionados aos serviços do Google e descobrir várias outras informações sobre uma pessoa. Em seus testes, eles conseguiram acessar até mesmo a foto de perfil do usuário.

Apple diz que corrigirá bug

Segundo um commit do WebKit no GitHub, a Apple já está trabalhando em uma correção para o bug. Porém, a correção não estará disponível para os usuários até que a empresa disponibilize uma nova atualização para o Safari no macOS Monterey e no iOS/iPadOS 15.

Até que isso aconteça, devido a forma como o problema se manifesta, não há muito o que os usuários possam fazer a respeito.

Uma maneira de mitigar o problema até que as atualizações de segurança estejam disponíveis é bloquear todo o JavaScript, mas essa é uma medida drástica que pode causar problemas de funcionalidade em muitas páginas da web.

É importante deixar claro que a falha não afeta o Safari 14 no macOS ou qualquer navegador no iOS/iPadOS14.

Fontes: BleepingComputer, Macrumors.

This post is also available in: Português

Diagnóstico que avalia a nível de conformidade com a Lei Geral de Proteção de Dados

Fazer diagnóstico

Ebooks 5 Dicas para evitar sequestro de dados

Nossas 5 dicas fundamentais para evitar sequestro de dados

Baixar eBook

Ebooks 10 dicas essenciais para aquisição de firewalls

Conheça os principais tópicos a serem considerados na aquisição de um firewall.

Baixar eBook

Ebooks Guia Lei Geral de Proteção de Dados

Documento completo para ambientalização à Lei Geral de Proteção de Dados

Baixar eBook

Apple diz que corrigirá bug

Blue Team e Red Team, entenda o que é e quais as diferenças

Cibercriminosos usam 0800 se passando por central de banco em novo golpe

Cadastre-se em nossa newsletter