El error de Safari 15 filtra la actividad de navegación de su iPhone y Mac mientras trabaja
Apenas unos días después de que Apple corrigiera un error que podría permitir que un pirata informático enviara su iPhone a un ciclo interminable de fallas, FingerprintJS descubrió una vulnerabilidad de Safari que podría exponer su actividad en Internet y sus datos personales a un sitio web abierto.
El error viene de API de base de datos indexada, que se utiliza para el almacenamiento del lado del cliente de grandes cantidades de datos estructurados, según Mozilla. Como explica FingerprintJS, dado que IndexedDB es una API de bajo nivel utilizada por todos los principales navegadores, muchos desarrolladores «optan por usar envoltorios que abstraen la mayoría de los aspectos técnicos y brindan una API más fácil de usar y más amigable para los desarrolladores».
Como tal, la versión de Safari de IndexedDB viola el mecanismo de seguridad del mismo origen que limita cómo los documentos o scripts cargados desde un origen pueden interactuar con recursos de otros orígenes, según FingerprintJS. Por lo tanto, los sitios web arbitrarios podrían espiar otros sitios web que un usuario visita en diferentes pestañas o ventanas.
Dado que algunos sitios web usan identificadores únicos específicos de usuarios en los nombres de las bases de datos, FingerprintJS explica que los usuarios autenticados pueden ser «identificados de manera única y precisa» por sitios como YouTube, Google Calendar y Google Keep. Y dado que iniciará sesión en estos sitios con su ID de Google, las bases de datos creadas para esta cuenta podrían filtrarse, incluida la información personal. FingerprintJS descubrió varios otros sitios vulnerables al error, incluidos Twitter y Bloomberg.
Puedes ver el error en acción. usando una demostración creada por FingerprintJS. La única mitigación conocida es cambiar de navegador en macOS. Los usuarios de iOS y iPadOS tienen menos opciones debido a la gestión de los motores de navegación de Apple, aunque FingerprintJS señala que los usuarios podrían bloquear todo JavaScript de forma predeterminada y solo permitirlo en sitios de confianza. Eso, o simplemente esperar a que llegue una actualización. Apple se está preparando actualmente iOS 15.3 y mac OS 12.2 para el lanzamiento, pero no está claro si incluye una corrección de Safari.
Michael Simon ha estado cubriendo Apple desde que el iPod es el iWalk. Su obsesión por la tecnología se remonta a su primera PC, la IBM Thinkpad con el teclado abatible para reemplazar el disco. Todavía está esperando que vuelva con estilo.
«Jugador orgulloso. Gurú del café. Alcoholico galardonado. Entusiasta de la cerveza. Estudiante. Aficionado a los zombis. Lector. Especialista en música. Aficionado a la comida».
