{"id":6471,"date":"2022-01-17T13:03:52","date_gmt":"2022-01-17T13:03:52","guid":{"rendered":"https:\/\/pstqb.pt\/?p=6471"},"modified":"2022-01-17T15:28:34","modified_gmt":"2022-01-17T15:28:34","slug":"erro-de-software-no-browser-safari-15-permite-o-rastreamento-da-actividade-do-utilizador","status":"publish","type":"post","link":"https:\/\/pstqb.pt\/en\/erro-de-software-no-browser-safari-15-permite-o-rastreamento-da-actividade-do-utilizador\/","title":{"rendered":"Software Error in Safari 15 Browser Allows Tracking of User Activity"},"content":{"rendered":"\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Um bug de software<\/em><\/strong> introduzido na implementa\u00e7\u00e3o da API IndexedDB<\/em> do Apple Safari 15<\/em> pode ser abusado por um site malicioso para rastrear a atividade online<\/em> dos usu\u00e1rios no navegador da web<\/em> e, pior, at\u00e9 revelar sua identidade. Esta vulnerabilidade, apelidada de IndexedDB Leaks<\/em>, foi divulgada pela empresa de software<\/em><\/strong> de prote\u00e7\u00e3o contra fraudes FingerprintJS<\/em>, que relatou o problema ao fabricante do iPhone<\/em> em novembro de 2021.<\/p>

A IndexedDB<\/em> \u00e9 uma interface de programa\u00e7\u00e3o de aplicativos (API) JavaScript<\/em> de baixo n\u00edvel, fornecida por navegadores de Web<\/em> para gerenciar bancos de dados NoSQL<\/em>\u00a0de\u00a0dados estruturados, como arquivos e blobs<\/em>. “Como a maioria das solu\u00e7\u00f5es de armazenamento na Web<\/em>, o IndexedDB<\/em> segue uma pol\u00edtica de mesma origem”, segundo a documenta\u00e7\u00e3o da API da Mozilla<\/em>. “Assim, embora seja poss\u00edvel acessar dados armazenados num determinado dom\u00ednio, n\u00e3o se pode ter acesso a dados em dom\u00ednios diferentes.”<\/p>

A pol\u00edtica da mesma origem\u00a0\u00e9 um mecanismo de seguran\u00e7a fundamental que garante que os recursos recuperados de origens distintas \u2014 ou seja, uma combina\u00e7\u00e3o do esquema (protocolo), host<\/em> (dom\u00ednio) e n\u00famero da porta de uma URL<\/em> \u2014 sejam isolados uns dos outros. Isso significa que “http[:]\/\/example[.]com\/” e “https[:]\/\/example[.]com\/” n\u00e3o s\u00e3o da mesma origem porque usam esquemas diferentes. Ao restringir a forma como um script<\/em> carregado por uma origem pode interagir com um recurso de outra origem, a ideia passa por sequestrar scripts<\/em> potencialmente maliciosos e reduzir poss\u00edveis vetores de ataque, impedindo que um site n\u00e3o autorizado execute c\u00f3digo JavaScript<\/em> arbitr\u00e1rio para ler dados de outro dom\u00ednio, isto \u00e9, um servi\u00e7o de e-mail.<\/p>

No entanto, este n\u00e3o \u00e9 o caso de como o Safari<\/em> lida com a API IndexedDB<\/em> no iOS<\/em>, iPadOS<\/em> e macOS. <\/em>\u201cNo Safari 15<\/em>, no macOS<\/em>, e em todos os navegadores no iOS<\/em> e iPadOS 15<\/em>, a API IndexedDB<\/em> est\u00e1 a infringir a pol\u00edtica de mesma origem\u201d, disse Martin Bajanik num artigo. “Sempre que um site interage com um banco de dados, um novo banco de dados (vazio) com o mesmo nome \u00e9 criado em todos os outros frames<\/em>, guias e janelas ativas na mesma sess\u00e3o do navegador.”<\/p>

Uma consequ\u00eancia desta viola\u00e7\u00e3o de privacidade \u00e9 que permite que os sites saibam quais outros sites um usu\u00e1rio que est\u00e1 a visitar, em diferentes guias ou janelas, concretamente, identificar com precis\u00e3o os usu\u00e1rios nos servi\u00e7os de servi\u00e7os do Google<\/em>, como YouTube<\/em> e Google Agenda<\/em>, pois esses sites criam bancos de dados IndexedDB<\/em> que incluem o IDs<\/em> de usu\u00e1rio do Google<\/em> autenticados – um identificador interno que identifica exclusivamente uma \u00fanica conta Google<\/em>. “Isto n\u00e3o implica apenas que sites n\u00e3o confi\u00e1veis ou maliciosos podem conhecer a identidade de um usu\u00e1rio, mas tamb\u00e9m permite vincular v\u00e1rias contas separadas usadas pelo mesmo\u201d, acrescentou Bajanik.<\/p>

Para piorar a situa\u00e7\u00e3o, este leak<\/em> tamb\u00e9m afeta o modo de navega\u00e7\u00e3o privada no Safari 15<\/em>, caso um usu\u00e1rio visite v\u00e1rios sites diferentes na mesma guia na janela do navegador. “Este \u00e9 um bug enorme”, twittou<\/em> Jake Archibald, defensor do desenvolvedor do Google Chrome<\/em>.\u00a0“No OSX<\/em>, os usu\u00e1rios do Safari podem (temporariamente) mudar para outro navegador para evitar que seus dados vazem entre as origens. Os usu\u00e1rios do iOS<\/em> n\u00e3o t\u00eam essa escolha, porque a Apple imp\u00f5e uma proibi\u00e7\u00e3o a outros mecanismos de navegador.”<\/p>

\u00a0<\/p>

O artigo original\u00a0<\/span>via The Hacker News <\/i><\/span>pode ser lido em:
<\/span>https:\/\/thehackernews.com\/2022\/01\/new-unpatched-apple-safari-browser-bug.html<\/a><\/div>
\u00a0<\/div>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<\/div>\n\t\t","protected":false},"excerpt":{"rendered":"

Um bug de software introduzido na implementa\u00e7\u00e3o da API IndexedDB do Apple Safari 15 pode ser abusado por um site malicioso para rastrear a atividade online dos usu\u00e1rios no navegador da web e, pior, at\u00e9 revelar sua identidade. Esta vulnerabilidade, apelidada de IndexedDB Leaks, foi divulgada pela empresa de software de prote\u00e7\u00e3o contra fraudes FingerprintJS, que relatou o problema ao fabricante do iPhone em novembro de 2021. A IndexedDB \u00e9 uma interface de programa\u00e7\u00e3o de aplicativos (API) JavaScript de baixo n\u00edvel, fornecida por navegadores de Web para gerenciar bancos de dados NoSQL de dados estruturados, como arquivos e blobs. “Como a maioria das solu\u00e7\u00f5es de armazenamento na Web, o IndexedDB segue uma pol\u00edtica de mesma origem”, segundo a documenta\u00e7\u00e3o da API da Mozilla. “Assim, embora seja poss\u00edvel acessar dados armazenados num determinado dom\u00ednio, n\u00e3o se pode ter acesso a dados em dom\u00ednios diferentes.” A pol\u00edtica da mesma origem \u00e9 um mecanismo de seguran\u00e7a fundamental que garante que os recursos recuperados de origens distintas \u2014 ou seja, uma combina\u00e7\u00e3o do esquema (protocolo), host (dom\u00ednio) e n\u00famero da porta de uma URL \u2014 sejam isolados uns dos outros. Isso significa que “http[:]\/\/example[.]com\/” e “https[:]\/\/example[.]com\/” n\u00e3o s\u00e3o da mesma origem porque usam esquemas diferentes. Ao restringir a forma como um script carregado por uma origem pode interagir com um recurso de outra origem, a ideia passa por sequestrar scripts potencialmente maliciosos e reduzir poss\u00edveis vetores de ataque, impedindo que um site n\u00e3o autorizado execute c\u00f3digo JavaScript arbitr\u00e1rio para ler dados de outro dom\u00ednio, isto \u00e9, um servi\u00e7o de e-mail. No entanto, este n\u00e3o \u00e9 o caso de como o Safari lida com a API IndexedDB no iOS, iPadOS e macOS. \u201cNo Safari 15, no macOS, e em todos os navegadores no iOS e iPadOS 15, a API IndexedDB est\u00e1 a infringir a pol\u00edtica de mesma origem\u201d, disse Martin Bajanik num artigo. “Sempre que um site interage com um banco de dados, um novo banco de dados (vazio) com o mesmo nome \u00e9 criado em todos os outros frames, guias e janelas ativas na mesma sess\u00e3o do navegador.” Uma consequ\u00eancia desta viola\u00e7\u00e3o de privacidade \u00e9 que permite que os sites saibam quais outros sites um usu\u00e1rio que est\u00e1 a visitar, em diferentes guias ou janelas, concretamente, identificar com precis\u00e3o os usu\u00e1rios nos servi\u00e7os de servi\u00e7os do Google, como YouTube e Google Agenda, pois esses sites criam bancos de dados IndexedDB que incluem o IDs de usu\u00e1rio do Google autenticados – um identificador interno que identifica exclusivamente uma \u00fanica conta Google. “Isto n\u00e3o implica apenas que sites n\u00e3o confi\u00e1veis ou maliciosos podem conhecer a identidade de um usu\u00e1rio, mas tamb\u00e9m permite vincular v\u00e1rias contas separadas usadas pelo mesmo\u201d, acrescentou Bajanik. Para piorar a situa\u00e7\u00e3o, este leak tamb\u00e9m afeta o modo de navega\u00e7\u00e3o privada no Safari 15, caso um usu\u00e1rio visite v\u00e1rios sites diferentes na mesma guia na janela do navegador. “Este \u00e9 um bug enorme”, twittou Jake Archibald, defensor do desenvolvedor do Google Chrome. “No OSX, os usu\u00e1rios do Safari podem (temporariamente) mudar para outro navegador para evitar que seus dados vazem entre as origens. Os usu\u00e1rios do iOS n\u00e3o t\u00eam essa escolha, porque a Apple imp\u00f5e uma proibi\u00e7\u00e3o a outros mecanismos de navegador.” O artigo original via The Hacker News pode ser lido em: https:\/\/thehackernews.com\/2022\/01\/new-unpatched-apple-safari-browser-bug.html<\/p>\n","protected":false},"author":2,"featured_media":6481,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"site-sidebar-layout":"default","site-content-layout":"default","ast-site-content-layout":"","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","theme-transparent-header-meta":"default","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"default","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[31],"tags":[],"class_list":["post-6471","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-destaque"],"_links":{"self":[{"href":"https:\/\/pstqb.pt\/en\/wp-json\/wp\/v2\/posts\/6471","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/pstqb.pt\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/pstqb.pt\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/pstqb.pt\/en\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/pstqb.pt\/en\/wp-json\/wp\/v2\/comments?post=6471"}],"version-history":[{"count":0,"href":"https:\/\/pstqb.pt\/en\/wp-json\/wp\/v2\/posts\/6471\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/pstqb.pt\/en\/wp-json\/wp\/v2\/media\/6481"}],"wp:attachment":[{"href":"https:\/\/pstqb.pt\/en\/wp-json\/wp\/v2\/media?parent=6471"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/pstqb.pt\/en\/wp-json\/wp\/v2\/categories?post=6471"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/pstqb.pt\/en\/wp-json\/wp\/v2\/tags?post=6471"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}