2022/01/17

Bug no Safari revela sites visitados

Um bug no Safari permite que qualquer site possa descobrir que outros sites o utilizador visitou, e até informação sobre a sua conta Google.

Uma falha na implementação do IndexedDB no Safari para Mac e iOS permite que qualquer site possa espiar que outros sites os utilizadores visitaram recentemente, podendo ser testado por cada um nesta página de demonstração: Safarileaks.

Para além de já ser preocupante um site poder saber que outros sites visitamos - permitindo que um site descubra se visitamos sites concorrentes e potencialmente podendo apresentar coisas diferentes, como preços mais baixos que não seriam apresentados de outra forma - esta falha permite também descobrir o ID de identificação de utilizadores Gooogle, que depois poderá ser utilizado para tentar obter mais informação.


O comportamento correcto seria limitar o acesso de cada site apenas aos registos referentes ao próprio site, como acontece noutros browsers. O mais estranho é que a Apple ainda não o tenha feito, depois de ter sido alertada para esta falha em Novembro de 2021. Esperemos que, com a visibilidade adicional, se apresse a fazê-lo agora.

Esta falha afecta as versões actuais do Safari nos Macs, iPhones e iPads.

Sem comentários:

Enviar um comentário (problemas a comentar?)