Erro do Safari vaza histórico de navegação e informações da conta do Google dos usuários

Um erro de software no Safari 15 da Apple pode permitir que qualquer site obtenha seu histórico recente da internet e até algumas informações da conta do Google, além de revelar sua identidade.

De acordo com uma postagem no blog da FingerprintJS, um serviço de identificação de navegador e detecção de fraudes, o erro foi introduzido na implementação da API IndexedDB do Safari 15, que faz parte do motor de desenvolvimento de navegador WebKit da Apple.

Para quem não sabe, IndexedDB é uma API de navegador para armazenamento do lado do cliente projetada para manter grandes quantidades de dados, que é suportada em todos os principais navegadores e é muito comumente usada.

Como a maioria das tecnologias modernas de navegadores, o IndexedDB segue a política de mesma origem, que é um mecanismo de segurança fundamental que restringe como documentos ou scripts carregados de uma origem podem interagir com recursos de outras origens. Bancos de dados indexados estão associados a uma origem específica.

“Documentos ou scripts associados a origens diferentes nunca devem ter a possibilidade de interagir com bancos de dados associados a outras origens”, diz o blog.

No Safari 15 no macOS, e em todos os navegadores no iOS e iPadOS 15, a API IndexedDB está violando a política de mesma origem. Quando um site interage com um banco de dados no Safari, a FingerprintJS afirma que um novo banco de dados (vazio) com o mesmo nome é criado em todos os outros frames, abas e janelas ativas dentro da mesma sessão do navegador.

O fato de que os nomes dos bancos de dados vazam entre diferentes origens é uma violação óbvia de privacidade. Isso permite que sites arbitrários descubram quais sites o usuário visita em diferentes abas ou janelas. Isso é possível porque os nomes dos bancos de dados são tipicamente únicos e específicos do site.

Além disso, a FingerprintJS observou que, em alguns casos, os sites usam identificadores únicos específicos do usuário nos nomes dos bancos de dados. Isso significa que usuários autenticados podem ser identificados de forma única e precisa.

Alguns exemplos populares seriam YouTube, Google Calendar ou Google Keep. Todos esses sites criam bancos de dados que incluem o ID do usuário autenticado do Google e, caso o usuário esteja logado em várias contas, bancos de dados são criados para todas essas contas.

O ID do usuário do Google é um identificador interno gerado pelo Google. Ele identifica de forma única uma única conta do Google, que pode ser usada com as APIs do Google para buscar informações pessoais públicas do proprietário da conta.

“Isso não só implica que sites não confiáveis ou maliciosos podem descobrir a identidade de um usuário, mas também permite a vinculação de várias contas separadas usadas pelo mesmo usuário”, escreveu a FingerprintJS.

Observe que esses vazamentos não requerem nenhuma ação específica do usuário. Uma aba ou janela que roda em segundo plano e consulta continuamente a API IndexedDB para bancos de dados disponíveis pode descobrir quais outros sites um usuário visita em tempo real. Alternativamente, os sites podem abrir qualquer site em um iframe ou janela pop-up para acionar um vazamento baseado em IndexedDB para aquele site específico.

A FingerprintJS criou uma página de demonstração que mostra como um site pode descobrir a identidade da conta do Google de qualquer visitante. A demonstração está disponível em safarileaks.com. Você pode experimentá-la se tiver o Safari 15 ou superior no seu Mac, iPhone ou iPad. Atualmente, a demonstração apenas detecta a presença de mais de 20 sites em outras abas ou janelas do navegador, incluindo Google Calendar, Youtube, Twitter e Bloomberg.

A FingerprintJS disse que relatou o erro do Safari ao WebKit Bug Tracker em 28 de novembro de 2021 como o erro 233548; no entanto, a Apple ainda não corrigiu o problema.

Até lá, a única solução pode ser bloquear todo o JavaScript por padrão e permitir apenas em sites que são confiáveis. Outra alternativa para usuários do Safari em Macs é mudar temporariamente para um navegador diferente. Infelizmente, no iOS e iPadOS isso não é uma opção, pois todos os navegadores são afetados.