Se ha detectado un fallo no parcheado de Safari 15 en macOS, iOS 15 y iPadOS 15 que expone el historial de navegación y la información de la cuenta de Google
Los usuarios de Safari en macOS e iOS pueden ser vulnerables a una grave violación de la privacidad. Existe un error en la implementación de IndexedDB de Safari 15, que permite a cualquier sitio web leer las entradas de la base de datos no solo de su propio sitio web, sino también de otros. Por lo tanto, información como las cadenas de ID de usuario de Google pueden ser vistas por terceros no autorizados, comprometiendo potencialmente la identidad de uno.
Todos los navegadores utilizan una IndexedDB o una base de datos indexada para almacenar cantidades significativas de datos en el almacenamiento del cliente para su rápida recuperación. Cada navegador determina sus propios límites en cuanto a la cantidad de espacio que asigna a IndexedDB y elimina automáticamente los datos cuando se acercan esos límites, basándose en criterios definidos. Se accede a IndexedDB a través de una API de bajo nivel, que normalmente se abstrae para obtener una API más fácil de usar para los desarrolladores.
En Safari 15, la API de IndexedDB se ve que viola la "política de mismo origen". Se dice que dos URLs tienen el mismo origen si utilizan el mismo protocolo, puerto (si se especifica) y host. El mismo origen es un mecanismo de seguridad crítico que impide que los documentos o scripts de un origen interactúen con los datos o recursos de otros orígenes, a menos que se permita a través de la compartición de recursos entre orígenes (CORS).
Según FingerprintJS, que informó por primera vez del problema a Apple el mismo 28 de noviembre, Safari 15 en macOS y todos los navegadores en iOS 15 y iPadOS 15 crean una base de datos vacía con el mismo nombre para todas las ventanas y pestañas activas cada vez que un sitio web interactúa con IndexedDB. Esto significa que un sitio web inteligentemente codificado desde un "origen" diferente puede esencialmente desechar lo que el usuario está visitando en cualquier pestaña o ventana abierta a menos que se utilice un perfil diferente. Por lo tanto, incluso la información de las ventanas privadas no es segura.
Los sitios web como Google y sus servicios crean bases de datos que incluyen el ID de usuario de Google para cada cuenta conectada. Un sitio web malicioso puede simplemente activar la apertura de un iframe o una ventana emergente y desechar esta información. Dado que este ID de usuario es un identificador, puede utilizarse potencialmente para recuperar los detalles de la persona, como la foto de perfil, por ejemplo.
Los analistas de FingerprintJS han creado un sitio web de demostración (safarileaks.com) que muestra la filtración en acción y funciona para más de 20 sitios web abiertos en otras pestañas y ventanas del mismo perfil. Si estás conectado a tu cuenta de Google en la misma instancia, el sitio de demostración también revelará tu ID de usuario de Google.
Por desgracia, no hay mucho que pueda hacer el usuario final por el momento. Bloquear todo el contenido de JavaScript es una solución, pero eso dificulta mucho la experiencia de navegación. Mientras que los usuarios de macOS pueden utilizar un navegador diferente, como Microsoft Edge o Mozilla Firefox, los de iOS no tienen esa opción, ya que incluso los navegadores de terceros deben utilizar Webkit.
Fuente(s)
