Según los hallazgos de FingerprintJS, un servicio de detección de fraudes y huellas dactilares del navegador, un error en Safari 15 puede revelar su actividad en línea y cierta información personal vinculada a su cuenta de Google (a través de 9to5Mac). El problema se relaciona con la implementación de Apple de IndexedDB, una API que almacena datos en su navegador.
IndexedDB, como todas las bases de datos web, se adhiere a la política del mismo origen, lo que significa que un origen no puede interactuar con los datos generados en otros orígenes. La política del mismo origen evita que una página maliciosa vea y manipule su correo electrónico si abre su cuenta de correo electrónico en una pestaña y luego visita un sitio dañino en otra.
El error de Safari que expone su ID de usuario de Google a otros sitios
La implementación de Apple de la API IndexedDB en Safari 15, según FingerprintJS, viola la política del mismo origen. Cuando un sitio web interactúa con una base de datos en Safari, FingerprintJS afirma que “se crea una nueva base de datos (vacía) con el mismo nombre en todos los demás marcos, pestañas y ventanas activos dentro de la misma sesión del navegador”.
Esto indica que otros sitios web pueden ver los nombres de otras bases de datos desarrolladas en otros sitios, que pueden contener información específica sobre su identidad. FingerprintJS identifica sitios web que utilizan su cuenta de Google, como YouTube, Google Calendar y Google Keep, entre otros. Debido a que su ID de usuario de Google le permite a Google acceder a sus datos disponibles públicamente, como su imagen de perfil, la vulnerabilidad de Safari puede exponerla a otros sitios web.
Este es un error enorme. En OSX, los usuarios de Safari pueden cambiar (temporalmente) a otro navegador para evitar que sus datos se filtren entre orígenes. Los usuarios de iOS no tienen esa opción, porque Apple impone una prohibición a otros motores de navegación. https://t.co/aXdhDVIjTT
—Jake Archibald (@jaffathecake) 16 de enero de 2022
El gobierno indio advierte a los usuarios de Chrome sobre un problema de seguridad
FingerprintJS creó una demostración de prueba de concepto que puede evaluar si tiene Safari 15 o superior en su Mac, iPhone o iPad. La demostración utiliza la falla IndexedDB del navegador para identificar los sitios que tiene abiertos (o abiertos recientemente) y cómo los sitios que aprovechan la falla pueden recopilar información de su ID de usuario de Google. Actualmente solo detecta 30 sitios importantes que se ven afectados por el error, como Instagram, Netflix, Twitter y Xbox, pero es probable que afecte a muchos más.
Desafortunadamente, no hay mucho que puedas hacer al respecto porque el error también afecta el modo de navegación privada en Safari. Puede utilizar un navegador diferente en macOS, pero todos los navegadores se ven afectados por la prohibición del motor de navegador de terceros de Apple en iOS. El 28 de noviembre, FingerprintJS informó de la filtración al WebKit Bug Tracker, pero aún no se ha actualizado Safari.
