Safari 15 de macOS y iOS tiene un error que filtra el historial de navegación y la información personal de los usuarios

Antonio Cahun

Editor Senior

Mi gusto por la tecnología comenzó cuando toqué por primera vez un NES a los 6 años. Metalhead y otaku, fan de One Piece. Comencé a escribir de tecnología como hobby, pero ahora es la manera en que me gano la vida. Puedes seguirme en X (Twitter) y en Instagram, donde todos los días publico historias de mi vida cotidiana. LinkedIn

Un grave fallo  de seguridad en Safari 15 ha sido descubierto. Fingerprint JS, un servicio de detección de fraude y toma de huellas dactilares del navegador, revela que ha descubierto un error en la implementación de la API IndexedDB que permite a cualquier sitio web rastrear la actividad de navegación de los usuarios e incluso su identidad.

El servicio explica que la API IndexedDB funciona bajo la política del mismo origen, la cual restringe la interacción de un origen con datos recopilados en otro orígenes. Es decir, solo el sitio web que genera datos puede acceder a esa información, y así se crea una defensa cuando, por ejemplo, se abre una página web maliciosa, la política del mismo origen evita que esta interactúe con el contenido de otras páginas abiertas en el mismo navegador.

El error se origina en una incorrecta aplicación de la API que viola esta política. Cuando un sitio web interactúa con una base de datos de Safari, Fingerprint JS explica que "una nueva (y vacía) base de datos con el mismo nombre es creada en todas las otras ventanas y pestañas activas en la misma sesión de navegación", esto permite que otros sitios web puedan ver los nombres de otras bases de datos y acceder a su información.

El problema se agrava con los sitios web que usan una cuenta de Google. Fingerprint JS nota que servicios como YouTube, Keep, Calendar y todos los servicios de Google generan bases de datos con el ID de usuario único de Google en su nombre, lo cual permite a la compañía acceder a la información pública de los usuarios, como la imagen de perfil, y a su vez el bug de Safari permite que otros sitios web puedan ver esta información.

Fingerprint JS ha creado una página de demostración para que los usuarios puedan probar por si mismos el funcionamiento erróneo de la API IndexedDB y cómo cualquier página puede acceder al ID de usuario único de Google. Hasta el momento se han detectado 30 sitios populares afectados por el bug, entre ellos Instagram, Netflix, Twitter, y Xbox. En Xataka México probamos y efectivamente la información se filtró de manera inmediata.

Desafortunadamente no hay mucho por hacer para defenderse de este error. Los usuarios de Safari 15 en macOS pueden usar un navegador diferente, pero los usuarios de iOS y iPadOS están totalmente vulnerables debido al veto de otros motores de navegación de Apple, de manera que todos los navegadores móviles son afectados por el bug. 

Según Fingerprint JS, reportó este error a Apple el 28 de noviembre de 2021, pero es hasta ahora que los ingenieros han comenzado a trabajar en una solución, y a pesar de que ha sido marcado como resuelto, el problema aún persiste hasta que cambios en el navegador sean hechos.

Ver todos los comentarios en https://www.xataka.com.mx

VER 1 Comentario

Portada de Xataka México