Bug no Safari revela informação do histórico e conta google

“Uma quantidade significativa de dados” é armazenada no IndexedDB, que é uma API Javascript, de acordo com o relatório.‎ ‎Essas informações podem então ser usadas para extrair informações de identificação de uma tabela de busca usando os nomes do banco de dados.

‎Um bug do Safari descoberto pela empresa de segurança FingerprintJS (e reportado pelo 9to5Mac) permite que qualquer site rastreie o histórico de navegação e até mesmo algumas informações relativas à conta do Google que esteja atualmente a ser usada.‎

‎Na implementação indexada do Safari no Mac e iOS, ele permite que os sites vejam os nomes das bases de dados de qualquer domínio, não apenas o que o site está a visualizar atualmente. “Uma quantidade significativa de dados” é armazenada no IndexedDB, que é uma API Javascript, de acordo com o relatório.‎

‎Essas informações podem então ser usadas para extrair informações de identificação de uma tabela de busca usando os nomes do banco de dados. Uma instância indexada separada do INDEXEDDB é mantida para cada uma de suas contas de login nos serviços do Google, por exemplo. Sites maliciosos podem ter acesso a essas informações a fim de coletarem informações adicionais sobre os utilizadores, como a foto de perfil da conta do Google.‎

Bug no Safari revela informação do histórico e conta google 1

‎Embora a demonstração de prova de conceito do FingerprintJS mantenha apenas um índice de cerca de 30 sites, há uma boa chance de que a exploração seja aplicada a um conjunto muito maior de sites no futuro. É possível que quase todos os sites que fazem uso da API JavaScript IndexadaDB possam ser vulneráveis a esse tipo de raspagem de dados.‎

‎Infelizmente, não há muito que possa ser feito do lado do utilizador para corrigir o bug do Safari além de desativar o Javascript em todos os sites não confiáveis, o que não é muito viável, porque provavelmente vai danificar outras coisas em páginas da Web se for feito.‎

‎A Apple é, sem dúvida, a única empresa capaz de implementar uma solução adequada. Navegadores como o Chrome só permitem que sites acedam a bases de dados no IndexedDB que foram criados pelo mesmo nome de domínio que o seu, e já passou da hora da Apple adotar uma política semelhante para o Safari.‎

‎FingerprintJS afirma que já reportou o bug à Apple a 28 de novembro; no entanto, eles não sabem quando uma correção será enviada.‎

Leiam as últimas notícias do mundo da tecnologia no Google News , Facebook  e Twitter e também no nosso Grupo de Telegram
Todos os dias vos trazemos dezenas de notícias sobre o mundo Android em Português. Sigam-nos no Google Notícias. Cliquem aqui e depois em Seguir. Obrigado!