Parece que o navegador Safari tem uma falha de segurança grave. De acordo com FingerprintJS post do blog, o bug do Safari pode revelar as informações da conta do Google das pessoas e seu histórico de pesquisa.
O bug está na implementação IndexedDB do Safari no Mac e iOS. Essa falha de segurança permite que um site obtenha informações confidenciais de usuários por meio do acesso aos nomes dos bancos de dados de qualquer domínio. Por meio desse banco de dados, as informações de identidade podem ser extraídas posteriormente.
De acordo com 9to5mac, quando você faz login em qualquer um dos serviços do Google, o Google armazena uma instância IndexedDB sua com o nome do banco de dados correspondente ao seu ID de usuário do Google. Em seguida, um site pode acessar suas outras informações confidenciais a partir das informações do ID de usuário do Google, pois esse ID é usado para criar solicitações de API em vários serviços do Google.
“Isso não apenas implica que sites não confiáveis ou maliciosos podem aprender a identidade de um usuário, mas também permite a vinculação de várias contas separadas usadas pelo mesmo usuário”, observou FingerprintJS
Safari está colocando informações confidenciais do usuário em risco
FingerprintJS criou um demonstração de prova de conceito site que pode mostrar como um site pode descobrir a identidade da conta do Google de qualquer visitante. No entanto, ele armazena apenas as informações de apenas 30 sites, e definitivamente há muitos sites afetados. O número de sites afetados ainda é desconhecido, mas qualquer site que use a API JavaScript IndexedDB pode estar em risco.
De acordo com o FingerprintJS, todas as versões atuais do Safari em dispositivos iPhone, iPad e Mac são exploráveis. Além disso, eles relataram o bug à Apple em 28 de novembro, e os engenheiros da empresa acabaram de trabalhar nele. No entanto, o problema persiste, mas não há solução real.
Claro, isso não é algo que a Apple possa ignorar facilmente. Provavelmente veremos uma atualização do navegador Safari em diferentes plataformas nos próximos meses.
Como nos proteger?
O FingerprintJS diz que os usuários não podem fazer muito sobre o problema. A única opção que pode ajudar é bloquear todo o JavaScript por padrão e permitir apenas em sites confiáveis.
O FingerprintJS analisou os 1000 sites mais visitados do Alexa para procurar o bug. “Os resultados mostram que mais de 30 sites interagem com bancos de dados indexados diretamente em sua página inicial, sem nenhuma interação adicional do usuário ou a necessidade de autenticação.” FingerprintJS observou em sua postagem no blog. “Suspeitamos que esse número seja significativamente maior em cenários do mundo real, pois os sites podem interagir com bancos de dados em subpáginas, após ações específicas do usuário ou em partes autenticadas da página.”