Safari Bug 15 puede filtrar su actividad de navegación reciente e identificadores personales
un error en safari 15 puede filtrar su actividad de navegación y también puede revelar parte de la información personal adjunta a su cuenta de Google, según Descubrimientos de FingerprintJS, un servicio de detección de huellas dactilares y fraude del navegador (a través de 9to5Mac). La vulnerabilidad proviene de un problema con la implementación de Apple de base de datos indexada, una interfaz de programación de aplicaciones (API) que almacena datos en su navegador.
Como explica FingerprintJS, IndexedDB sigue el política del mismo origen, que restringe la interacción de una fuente con datos que se han recopilado de otras fuentes; esencialmente, solo el sitio que genera los datos puede acceder a ellos. Por ejemplo, si abre su cuenta de correo electrónico en una pestaña y luego abre una página maliciosa en otra, la política del mismo origen evitará que la página maliciosa se vea y entre en su correo electrónico.
FingerprintJS descubrió que aplicar la API IndexedDB de Apple en Safari 15 en realidad viola la política del mismo origen. Cuando un sitio web interactúa con una base de datos en Safari, FingerprintJS dice que «se crea una nueva base de datos (vacía) con el mismo nombre en todos los demás marcos, pestañas y ventanas activos en la misma sesión del navegador».
Esto significa que otros sitios pueden ver el nombre de otras bases de datos creadas en otros sitios, que pueden contener detalles específicos de su identidad. Los sitios de notas de FingerprintJS que utilizan su cuenta de Google, como YouTube, Google Calendar y Google Keep, generan bases de datos con su ID de usuario único de Google en su nombre. Su ID de usuario de Google le permite a Google acceder a su información disponible públicamente, como su foto de perfil, que el error de Safari podría exponer a otros sitios web.
Este es un gran error. En OSX, los usuarios de Safari pueden cambiar (temporalmente) a otro navegador para evitar que sus datos se filtren entre fuentes. Los usuarios de iOS no tienen esa opción, porque Apple impone una prohibición a otros motores de navegación. https://t.co/aXdhDVIjTT
—Jake Archibald (@jaffathecake) 16 de enero de 2022
FingerprintJS creado una demostración de prueba de concepto puedes probarlo si tienes Safari 15 o superior en tu Mac, iPhone o iPad. La demostración utiliza la vulnerabilidad IndexedDB del navegador para identificar los sitios web que ha abierto (o ha abierto recientemente) y muestra cómo el error extrae información de su ID de usuario de Google. Actualmente solo detecta 30 sitios web populares afectados por el error, como Instagram, Netflix, Twitter, Xbox, pero es probable que afecte a muchos más.
Desafortunadamente, no hay mucho que puedas hacer para solucionar el problema, ya que FingerprintJS dice que el error también afecta el modo de navegación privada en Safari. Puede usar un navegador diferente en macOS, pero Prohibición de motores de navegación de terceros de Apple en iOS significa que todos los navegadores se ven afectados. FingerprintJS informó sobre la filtración al WebKit Bug Tracker el 28 de noviembre, pero aún no ha habido una actualización para Safari. Al borde contactó a Apple con una solicitud de comentarios, pero no recibió una respuesta inmediata.
