De acordo com o FigerprintJS, um serviço de fingerprinting de browsers e detecção de fraudes, um bug na versão 15 do browser Safari da Apple, pode divulgar o histórico de navegação e várias informações ligadas à sua conta Google. Esta vulnerabilidade é causada pela implementação que a Apple fez da API (Application Programing Interface) IndexedDB, que guarda informação no browser.
Segundo a explicação do FingerprintJS, a IndexedDB obedece a uma política que restringe uma origem de interagir com dados que foram recolhidos a parti de outras origens – simplificando, apenas o site que gera um conjunto de dados pode aceder a esses dados. Por exemplo, se abrir a sua conta de email num separador e depois abrir uma página de um site malicioso noutro separador, esta política de funcionamento impede o site malicioso de ver os dados da sua conta de email.
O que foi descoberto pelo FigerprintJS, foi que a implementação da API IndexedDB feita pela Apple no Safari 15 viola esta política. Quando um site interage com uma base de dados no Safari, é criada uma nova base de dados vazia com o mesmo nome em todos os separadores e janelas, que estão abertas nessa sessão do browser.
Isto quer dizer que, outros sites podem ver o nome de outras bases de dados que são criadas pelos vários sites abertos e estas bases de dados podem conter detalhes da identidade do utilizados. O FigerprintJS indica que sites que usem uma conta Google, como o Youtube, Google Calendar e Google Keep, geram todos bases de dados que contêm o ID Google do utilizador no nome. O Google ID permite à empresa aceder a informações do utilizador que estão disponíveis publicamente, como a fotografia de perfil, que pode ser exposta a outros sites através deste bug do Safari.
Os responsáveis pelo FigerprintJS, criaram uma demonstração que mostra como este bug afecta o Safari 15 ou superior no Mac, iPhone e iPad. A demonstração usa a vulnerabilidade detectada pelo IndexedDB, para identificar os sites que estão abertos no momento (ou que foram abertos recentemente) e mostra como os sites que explorem este pug conseguem obter informação a partir de um ID Google. Neste momento, a demonstração detecta apenas os 30 sites mais populares que são afectados pelo bug, incluindo o Instagram, Netflix, Twitter e Xbox.
Infelizmente, o utilizador não pode fazer muito para tentar resolver este problema, porque afecta todos os modos de funcionamento do Safari, incluíndo o modo anónimo. Se usar um Mac, o utilizador pode sempre mudar de browser, mas a proibição de utilização de motores de browsers diferentes no iOS, quer dizer que todos os browsers para os dispositivos móveis da Apple são afectados. O bug foi reportado no WebKit Bug Tracker a 28 de Novembro do ano passado, mas ainda não foi lançada nenhuma actualização para o Safari para o resolver.
