Segundo o site MacRumors, a Apple corrigirá o bug do Safari no iOS 15 e iPadOS 15. Confira os detalhes dessa ameaça e da correção.
Existe um bug bastante sério do Safari que pode, em certas mãos, levar ao roubo de dados pessoais. O relatório da FingerprintJS disse que o bug “permite que qualquer site rastreie sua atividade na Internet e até revele sua identidade”.
A empresa de pesquisa de segurança enviou o bug ao WebKit Bug Tracker em 28 de novembro de 2021 e, de acordo com MacRumors, uma correção da Apple parece estar chegando em breve.
Apple corrigirá o bug do Safari no iOS 15 e iPadOS 15
No GitHub, um commit do WebKit indica que a Apple tem seus engenheiros trabalhando em uma correção para exterminar o bug.
Espera-se que isso seja divulgado em breve para usuários de iPhone, iPad e Mac por meio de atualizações para iOS, iPadOS e macOS Monterey, respectivamente.
WebKit é o mecanismo de navegador da Web usado pelo Safari e, como a Apple exige que todos os navegadores no iPhone e iPad sejam acionados pelo WebKit, navegadores de terceiros, como Chrome e Edge, são afetados pelo mesmo bug no iOS 15 e iPadOS 15.
Os hackers podem explorar esse bug para obter seu ID de usuário do Google
O bug permite que qualquer site que use a API IndexedDB para armazenamento de dados obtenha os nomes de outros sites abertos pelo usuário durante uma sessão de navegação, mesmo que sejam abertos em uma guia ou janela diferente.
Os sites afetados também devem usar IndexedDB, que é conhecido por armazenar “uma quantidade significativa de dados”.
Alguns desses bancos de dados expõem identificadores específicos do usuário que podem ser usados por invasores para capturar o nome do usuário.
Os aplicativos que colocam esses identificadores específicos do usuário em seus bancos de dados incluem YouTube, Google Agenda e Google Keep.
Os identificadores usados com aplicativos como YouTube, Google Agenda e Google Keep incluem o ID de usuário do Google de uma pessoa.
Você pode provar isso por si mesmo abrindo Safarileaks.com no navegador da web móvel do seu iPhone ou iPad.
Siga as instruções e, dependendo dos sites que você visitou recentemente, seu ID de usuário do Google aparecerá junto com o nome de determinados sites que você abriu recentemente.
Dispositivos com iOS 14 ou iPadOS 14 não são afetados pelo bug
Com seu ID de usuário do Google, um hacker pode identificar uma conta específica do Google. Talvez um pouco mais preocupante, em combinação com as APIs do Google, o bug pode revelar sua foto de perfil a um hacker pelo menos e muito mais informações pessoais no pior cenário.
O bug não afeta o Safari 14 no macOS ou o navegador móvel no iOS 14 e iPadOS 14.
No entanto, com 72% dos modelos de iPhone lançados nos últimos quatro anos e 63% de todas as unidades de iPhone compatíveis com iOS 15, isso funciona para um grande número de aparelhos da Apple que podem ser explorados.
Um dos problemas com esse bug é que ele não exige que você faça nada de especial para se colocar em risco. Você não precisa ser enganado para tocar em um link ou abrir um determinado site.
E a FingerprintJS descobriu que 30 dos 1.000 principais sites visitados (computados pelo Alexa) têm IndexedDB diretamente em sua página inicial, o que facilita para um usuário de iPhone ou iPad entrar nesse bug involuntariamente.
E até que a Apple entregue a atualização, não há muito que um usuário possa fazer para evitar isso.
Os usuários de Mac podem trocar de navegador, mas os usuários de iOS e iPadOS devem usar um navegador que execute o mecanismo WebKit, para que isso não ajude muito. Uma sugestão é bloquear todo o JavaScript por padrão e permitir apenas em sites 100% confiáveis.
O WebKit Commit sugere que a atualização chegará em breve, mas isso pode não ser em breve para usuários de iPhone e iPad focados em privacidade que não estão satisfeitos com a ideia de que seu histórico de navegação, foto de perfil e mais dados pessoais possam ser descobertos juntamente com a sua identidade.