Uma vulnerabilidade crítica foi descoberta no navegador Safari, afetando tanto dispositivos iOS quanto macOS. A falha está relacionada à implementação inadequada da API IndexedDB, permitindo que sites maliciosos acessem informações de outras abas abertas, mesmo sem interação direta do usuário.
O problema reside na violação da política de mesma origem (same-origin policy) pelo Safari. Ao interagir com o IndexedDB, o navegador cria bancos de dados com nomes idênticos em todas as abas ativas, independentemente da origem. Isso possibilita que um site identifique quais outros sites estão abertos em diferentes abas, revelando informações sensíveis, como a identidade do usuário em plataformas como Google, YouTube e redes sociais
Embora a falha não permita a execução de código malicioso ou o roubo direto de dados, ela representa uma séria ameaça à privacidade. Anunciantes e mecanismos de rastreamento podem explorar essa vulnerabilidade para criar perfis detalhados de navegação dos usuários, comprometendo sua anonimidade online.
A Apple foi notificada sobre a falha e está trabalhando em uma atualização de segurança. Enquanto a correção não é liberada, especialistas recomendam o uso de navegadores alternativos no macOS ou a navegação em modo privado como formas de mitigar o risco de exposição .
Dica de prevenção:
Para proteger sua privacidade, considere as seguintes medidas:
Utilize navegadores alternativos que não sejam baseados no WebKit, especialmente no macOS.
Ative o modo de navegação privada para limitar o compartilhamento de dados entre abas.
Restrinja a execução de JavaScript em sites não confiáveis, embora isso possa afetar a funcionalidade de algumas páginas.
A privacidade online é um direito fundamental
Na LC SEC, oferecemos soluções especializadas para proteger sua empresa contra vulnerabilidades e ameaças cibernéticas. Com serviços como testes de intrusão, desenvolvimento de políticas de segurança e treinamentos de conscientização, ajudamos a fortalecer a segurança digital da sua organização.
Conheça nossos serviços: lcsec.io