“Uma quantidade significativa de dados” é armazenada no IndexedDB, que é uma API Javascript, de acordo com o relatório. Essas informações podem então ser usadas para extrair informações de identificação de uma tabela de busca usando os nomes do banco de dados.
Um bug do Safari descoberto pela empresa de segurança FingerprintJS (e reportado pelo 9to5Mac) permite que qualquer site rastreie o histórico de navegação e até mesmo algumas informações relativas à conta do Google que esteja atualmente a ser usada.
Na implementação indexada do Safari no Mac e iOS, ele permite que os sites vejam os nomes das bases de dados de qualquer domínio, não apenas o que o site está a visualizar atualmente. “Uma quantidade significativa de dados” é armazenada no IndexedDB, que é uma API Javascript, de acordo com o relatório.
Essas informações podem então ser usadas para extrair informações de identificação de uma tabela de busca usando os nomes do banco de dados. Uma instância indexada separada do INDEXEDDB é mantida para cada uma de suas contas de login nos serviços do Google, por exemplo. Sites maliciosos podem ter acesso a essas informações a fim de coletarem informações adicionais sobre os utilizadores, como a foto de perfil da conta do Google.
Embora a demonstração de prova de conceito do FingerprintJS mantenha apenas um índice de cerca de 30 sites, há uma boa chance de que a exploração seja aplicada a um conjunto muito maior de sites no futuro. É possível que quase todos os sites que fazem uso da API JavaScript IndexadaDB possam ser vulneráveis a esse tipo de raspagem de dados.
Infelizmente, não há muito que possa ser feito do lado do utilizador para corrigir o bug do Safari além de desativar o Javascript em todos os sites não confiáveis, o que não é muito viável, porque provavelmente vai danificar outras coisas em páginas da Web se for feito.
A Apple é, sem dúvida, a única empresa capaz de implementar uma solução adequada. Navegadores como o Chrome só permitem que sites acedam a bases de dados no IndexedDB que foram criados pelo mesmo nome de domínio que o seu, e já passou da hora da Apple adotar uma política semelhante para o Safari.
FingerprintJS afirma que já reportou o bug à Apple a 28 de novembro; no entanto, eles não sabem quando uma correção será enviada.
Todos os dias vos trazemos dezenas de notícias sobre o mundo Android em Português. Sigam-nos no Google Notícias. Cliquem aqui e depois em Seguir. Obrigado! |
Formado em Informática / Multimédia trabalho há 10 anos em Logística no Ramo Automóvel. Tenho uma paixão pelas Novas Tecnologias , cresci com computadores e tecnologias sempre presentes, assisti à evolução até hoje e continuo a absorver o máximo de informação sou um Tech Junkie. Viciado em Smartphones e claro no AndroidGeek.pt
Próximo Post