Notebookcheck Logo

Se ha detectado un fallo no parcheado de Safari 15 en macOS, iOS 15 y iPadOS 15 que expone el historial de navegación y la información de la cuenta de Google

Safari en macOS y iOS 15 sufre un grave fallo de violación de la privacidad. (Fuente de la imagen: Apple)
Safari en macOS y iOS 15 sufre un grave fallo de violación de la privacidad. (Fuente de la imagen: Apple)
Existe un importante fallo en Safari 15 que puede poner en riesgo la privacidad de los usuarios. El fallo de la API IndexedDB, que afecta a los usuarios de Safari en macOS, iOS 15 y iPadOS 15, viola la política de mismo origen que impide que los sitios web accedan a la información de otros sitios web que también interactúan con la base de datos IndexedDB. Así, un sitio web malintencionado puede acceder a información como el historial de navegación e identificadores como los ID de usuario de Google.

Los usuarios de Safari en macOS e iOS pueden ser vulnerables a una grave violación de la privacidad. Existe un error en la implementación de IndexedDB de Safari 15, que permite a cualquier sitio web leer las entradas de la base de datos no solo de su propio sitio web, sino también de otros. Por lo tanto, información como las cadenas de ID de usuario de Google pueden ser vistas por terceros no autorizados, comprometiendo potencialmente la identidad de uno.

Todos los navegadores utilizan una IndexedDB o una base de datos indexada para almacenar cantidades significativas de datos en el almacenamiento del cliente para su rápida recuperación. Cada navegador determina sus propios límites en cuanto a la cantidad de espacio que asigna a IndexedDB y elimina automáticamente los datos cuando se acercan esos límites, basándose en criterios definidos. Se accede a IndexedDB a través de una API de bajo nivel, que normalmente se abstrae para obtener una API más fácil de usar para los desarrolladores.

En Safari 15, la API de IndexedDB se ve que viola la "política de mismo origen". Se dice que dos URLs tienen el mismo origen si utilizan el mismo protocolo, puerto (si se especifica) y host. El mismo origen es un mecanismo de seguridad crítico que impide que los documentos o scripts de un origen interactúen con los datos o recursos de otros orígenes, a menos que se permita a través de la compartición de recursos entre orígenes (CORS).

Según FingerprintJS, que informó por primera vez del problema a Apple el mismo 28 de noviembre, Safari 15 en macOS y todos los navegadores en iOS 15 y iPadOS 15 crean una base de datos vacía con el mismo nombre para todas las ventanas y pestañas activas cada vez que un sitio web interactúa con IndexedDB. Esto significa que un sitio web inteligentemente codificado desde un "origen" diferente puede esencialmente desechar lo que el usuario está visitando en cualquier pestaña o ventana abierta a menos que se utilice un perfil diferente. Por lo tanto, incluso la información de las ventanas privadas no es segura.

Los sitios web como Google y sus servicios crean bases de datos que incluyen el ID de usuario de Google para cada cuenta conectada. Un sitio web malicioso puede simplemente activar la apertura de un iframe o una ventana emergente y desechar esta información. Dado que este ID de usuario es un identificador, puede utilizarse potencialmente para recuperar los detalles de la persona, como la foto de perfil, por ejemplo.

Los analistas de FingerprintJS han creado un sitio web de demostración (safarileaks.com) que muestra la filtración en acción y funciona para más de 20 sitios web abiertos en otras pestañas y ventanas del mismo perfil. Si estás conectado a tu cuenta de Google en la misma instancia, el sitio de demostración también revelará tu ID de usuario de Google.

Por desgracia, no hay mucho que pueda hacer el usuario final por el momento. Bloquear todo el contenido de JavaScript es una solución, pero eso dificulta mucho la experiencia de navegación. Mientras que los usuarios de macOS pueden utilizar un navegador diferente, como Microsoft Edge o Mozilla Firefox, los de iOS no tienen esa opción, ya que incluso los navegadores de terceros deben utilizar Webkit.

Compra el Apple MacBook Pro con M1 Pro en Amazon

Fuente(s)

Please share our article, every link counts!
> Análisis y pruebas de ordenadores portátiles y móviles teléfonos > Noticias > Archivo de noticias > Archivo de noticias 2022 01 > Se ha detectado un fallo no parcheado de Safari 15 en macOS, iOS 15 y iPadOS 15 que expone el historial de navegación y la información de la cuenta de Google
Vaidyanathan Subramaniam, 2022-01-18 (Update: 2024-08-15)