Mercado fechado

Brecha no Safari permitia rastrear navegação do usuário

Felipe Demartini

Uma brecha de segurança no Safari, em sua versão para o sistema operacional iOS, permitia que serviços online rastreassem diretamente os hábitos dos usuários. A vulnerabilidade foi descoberta por uma equipe do Google, que trabalha em parceria com a universidade americana de Cornell, em um sistema que foi implementado pela Apple em 2017, justamente, lidava com cookies e outras informações de histórico para tentar evitar essa prática.

Trata-se da Prevenção Inteligente de Rastreamento (ITP, na sigla em inglês), que entre outras tarefas, realiza a limpeza de dados e rejeita cookies de terceiros por padrão, como forma de impedir o rastreamento do usuário. Entretanto, de acordo com os achados dos pesquisadores de segurança do Google, esse comportamento poderia ser customizado para, em vez de proteger os usuários, revelar a lista de sites que ele acessa e os serviços que visita.

Assim, seria possível que um indivíduo malicioso acompanhasse o histórico de navegação do usuário e até mesmo incluísse determinados domínios em uma lista segura do ITP, permitindo explorações que envolvem a exibição de anúncio ou o redirecionamento involuntário a páginas específicas. Assim, as portas se abririam também para ataques e outros tipos de exploração maliciosa das capacidades do sistema embarcado no Safari.

Na mais grave, por exemplo, os pesquisadores de segurança foram capazes de extrair trechos parciais da caixa de entrada de um serviço de e-mail a partir de buscas realizadas pelo usuário na caixa de pesquisa do sistema. Assim, seria possível encontrar, por exemplo, endereços de contatos preferenciais ou compras realizadas em lojas, informações que poderiam levar a tentativas de phishing e outros tipos de intrusão.

O estudo publicado pelo time do Google indica algumas soluções de curto prazo, como limitar o número de acessos à lista de sites do ITP, ou desabilitar sistemas de redirecionamento, e permanentes, que envolveriam até mesmo a criação de uma lista global de sites confiáveis, que seria compartilhada entre todos os usuários do navegador. Seja como for e independentemente da solução aplicada, os especialistas afirmam que o problema foi resolvido em dezembro do ano passado, após a Apple ser informada sobre ele.

A correção veio em uma atualização, cuja liberação foi confirmada pela empresa. Em comunicado, a Maçã elogiou o trabalho responsável do Google em descobrir e revelar a falha com tempo hábil para que ela pudesse ser resolvida de forma permanente, mantendo a privacidade de seus usuários e a proteção das informações pessoais como maior prioridade.

Fonte: Canaltech

Trending no Canaltech: