Falha em navegadores pode vazar dados de usuários de mac, iPhone e iPad

Uma falha crítica no Webkit, motor de renderização usado por navegadores no macOS, iOS e iPadOS, pode levar ao vazamento de dados pessoais dos usuários, incluindo identificadores de contas e histórico de navegação. A abertura, descoberta em novembro do ano passado, ainda não foi corrigida e segue aberta, atingindo usuários de browsers como o Safari, Chrome e Brave, sendo os dois últimos apenas em suas versões mobile.

A abertura, mais especificamente, se encontra na API IndexedDB, que armazena dados de páginas acessadas para auxiliar na navegação. Em circunstâncias normais, a tecnologia usa uma regra de “mesma origem” para que aplicações tenham acesso ao banco, de forma que cada domínio apenas possa ler os dados gerados pelo próprio; isso, porém, não vale nas versões mais recentes dos navegadores nos sistemas operacionais citados, levando à exposição de dados em caso de acesso a páginas maliciosas.

De acordo com os analistas da FingerprintJS, empresa especializada em biometria e proteção contra fraudes, o Safari 15, assim como implementações do Chrome e do Brave no iOS, a ausência desse tipo de limitação é preocupante, principalmente quando se leva em conta seu alcance. Não apenas estamos falando de browsers e sistemas operacionais populares, mas também de uma engine usada em alguns dois sites mais acessados do mundo, incluindo nomes como Netflix, YouTube, Alibaba e Twitter, bem como serviços do Google e Dropbox.

Quer ficar por dentro das melhores notícias de tecnologia do dia? Acesse e se inscreva no nosso novo canal no youtube, o Canaltech News. Todos os dias um resumo das principais notícias do mundo tech para você!

Resultado de teste liberado pelos especialistas, com lista de páginas afetadas por brecha no Webkit (Imagem: Captura de tela/Felipe Demartini/Canaltech)

Em risco estão as sessões ativas, cujos logins criam bancos de dados com a API. A falha, segundo os especialistas, também atinge a navegação anônima dos browsers, mas nestes casos, a exposição é menor, estando restrita apenas à própria aba em utilização. Caso seja explorada, a vulnerabilidade não exige autorização do usuário, sendo comparada pelos especialistas com um vazamento direto do histórico do navegador, ainda que atingindo apenas um conjunto de sites com recursos específicos.

Uma página de demonstração foi criada pelos especialistas para que os usuários possam verificar quais dados estão sujeitos à interceptação e de que maneira as informações podem ser coletadas. De acordo com a FingerprintJS, a vulnerabilidade foi relatada à Apple em novembro de 2021, mas segue não corrigida.

Como medida de proteção, os analistas indicam a desativação de todo conteúdo JavaScript, uma alternativa que também pode gerar problemas de navegação e impedir o carregamento de elementos legítimos. No macOS, os usuários podem usar navegadores que não utilizem o WebKit — é o caso do Chrome e do Firefox, por exemplo —, enquanto não é possível fugir desta tecnologia no iOS e iPadOS.

Fonte: FingerprintJS

Fonte feed: canaltech.com.br

Veja também