By 
El navegador Safari de Apple tiene una vulnerabilidad que podría exponer el historial de navegación y la información personal de los usuarios.
El error, que se introdujo en Safari 15, según lo informado por Huella digitalJS, proviene de la API de base de datos indexada que forma parte de WebKit de Apple. La API se utiliza para guardar datos en los sitios web que los usuarios han visitado para que puedan cargarse más rápido cuando regresen.
IndexedDB debe evitar que los datos de un origen interactúen con datos de otros orígenes. Pero el error significa que eso no estaba sucediendo.
“En Safari 15 en macOS, y en todos los navegadores en iOS y iPadOS 15, la API de IndexedDB está violando la política del mismo origen. Cada vez que un sitio web interactúa con una base de datos, se crea una nueva base de datos (vacía) con el mismo nombre en todos los demás marcos, pestañas y ventanas activos dentro de la misma sesión del navegador”, dijo el ingeniero de software Martin Bajanik.
Esto, continúa Bajanik, “permite que sitios web arbitrarios aprendan qué sitios web visita el usuario en diferentes pestañas o ventanas. Esto es posible porque los nombres de las bases de datos suelen ser únicos y específicos del sitio web”. A veces, esto incluye información única específica del usuario que permitiría identificar a las personas con precisión después de usar YouTube, Google Calendar o Google Keep, por ejemplo.
“Todos estos sitios web crean bases de datos que incluyen la ID de usuario de Google autenticada y, en caso de que el usuario haya iniciado sesión en varias cuentas, se crean bases de datos para todas estas cuentas”, dice.
Las filtraciones no requieren una acción específica del usuario, por lo que hay poco que un usuario pueda hacer para detenerlo, y de los 1000 sitios web más visitados, más de 30 eran vulnerables debido a esta falla, incluidos Instagram, Netflix, Twitter y Xbox.
Desafortunadamente, los usuarios de Safari, iPadOS e iOS no pueden detener esto sin tomar “medidas drásticas”, como bloquear todo JavaScript, un movimiento que desafortunadamente haría que la navegación web moderna fuera “inconveniente”.
Además, mientras que los usuarios de Safari en Mac pueden usar un navegador diferente, todos los navegadores en iOS y iPadOS usan WebKit de Apple, incluidos competidores como Google Chrome, lo que hace que el cambio sea imposible.
Apple no respondió a una solicitud de comentarios de El independiente antes del momento de la publicación. FingerprintJS informó la fuga al WebKit Bug Tracker el 28 de noviembre de 2021, pero Apple aún no ha actualizado Safari.
Comments