El error de Safari 15 compromete el historial web y los datos personales

hace 2 años

Una vulnerabilidad descubierta por los investigadores de seguridad de Fingerprint pone en riesgo a los usuarios del navegador Safari en macOS de Apple. Los datos de navegación y el historial web pueden quedar expuestos, así como los datos de identidad.

Apenas unos días después de que Apple corrigiera un error que abría la puerta a un ciclo interminable de bloqueos de dispositivos iOS, los investigadores de seguridad de FingerprintJS descubrieron una vulnerabilidad de Safari. Esto podría exponer la actividad de Internet y los datos personales de un usuario a un sitio web de terceros abierto en una nueva ventana o en otra pestaña de ese navegador. El error proviene de la API IndexedDB, utilizada para el almacenamiento del lado del cliente de grandes cantidades de datos estructurados, recuerda Mozilla. Como explica FingerprintJS, dado que IndexedDB es una API de bajo nivel utilizada por todos los principales navegadores, muchos desarrolladores optan por usar contenedores que abstraen la mayoría de los aspectos técnicos y brindan una API más fácil de usar y más amigable para los desarrolladores. Este error se informó en WebKit Bug Tracker el 28 de noviembre de 2021.

Como explica FingerprintJS, la mayoría de las tecnologías modernas de navegador web, IndexedDB sigue una política del mismo origen, un mecanismo de seguridad fundamental que limita la forma en que los documentos o scripts cargados desde un origen pueden interactuar con recursos de otras fuentes. Un origen se define por el esquema (protocolo), el nombre de host (dominio) y el puerto de la URL utilizada para acceder a él. “En Safari 15 en macOS y en todos los navegadores en iOS y iPadOS 15, la API de IndexedDB viola la política del mismo origen. Cada vez que un sitio web interactúa con una base de datos, se crea una nueva base de datos (vacía) con el mismo nombre en todos los demás marcos, pestañas y ventanas activos dentro de la misma sesión del navegador”, dice la investigación.

Un error solucionado para Apple pero un parche pendiente

Dado que algunos sitios web usan identificadores únicos específicos de usuarios en los nombres de las bases de datos, FingerprintJS explica que los usuarios autenticados pueden ser identificados de manera única y precisa por sitios como YouTube, Google Calendar y Google Keep. Y dado que el usuario está conectado a estos sitios utilizando su ID de Google, las bases de datos creadas para esta cuenta podrían divulgarse, incluyendo así información personal. FingerprintJS descubrió varios otros sitios vulnerables al error, incluidos Twitter y Bloomberg.

El error en acción es visible en una demostración creada por FingerprintJS y también se ha subido un video. La única mitigación conocida hasta ahora es cambiar los navegadores en macOS. Los usuarios de iOS y iPadOS tienen menos opciones debido a la gestión de los motores de navegación de Apple, aunque FingerprintJS señala que los usuarios pueden bloquear todo JavaScript de forma predeterminada y solo permitirlo en sitios de confianza. . También podría llegar una actualización pronto, pero queda por ver si la solución se incluirá en iOS 15.3 y macOS 12.2. "Los ingenieros de Apple comenzaron a trabajar en el error el domingo, combinaron posibles soluciones y marcaron nuestro informe como resuelto", dijeron los investigadores de FingerprintJS. "Sin embargo, el error persiste para los usuarios finales hasta que se publiquen estos cambios".

Si quieres conocer otros artículos parecidos a El error de Safari 15 compromete el historial web y los datos personales puedes visitar la categoría Otros.

Otras noticias que te pueden interesar

Subir