Según FingerprintJS, la versión 15 del navegador Safari de Apple contiene una vulnerabilidad grave que puede exponer la información del usuario, especialmente la información de la cuenta de Google. Este agujero de seguridad se deriva de la implementación de Apple de una API que ayuda a almacenar datos en el navegador llamado IndexedDB.
En teoría, la API de IndexedDB debería garantizar que cuando un usuario abre su cuenta de correo electrónico en una pestaña y luego abre un sitio web malicioso en otra pestaña, debe evitar que el sitio web malicioso vea o manipule el correo electrónico anterior.
Sin embargo, la API de IndexedDB en Safari 15 no cumple con esto, lo que hace posible que los sitios web en diferentes pestañas lean los datos de los demás.
FingerprintJS señala que los sitios web que usan cuentas de Google como YouTube, Gmail o Google Calendar crean bases de datos con información sobre la cuenta de Google del usuario.
Por lo tanto, al abrir una pestaña para acceder a estos servicios y el navegador está abriendo una pestaña que contiene algún sitio web malicioso, es muy posible que los datos del usuario estén expuestos, incluso en modo de navegación segura.
El error de Safari permite que los sitios web realicen un seguimiento de su actividad de navegación reciente en tiempo real
En algunos casos, los sitios web usan identificadores únicos específicos del usuario en los nombres de la base de datos de IndexedDB. Por ejemplo, YouTube crea bases de datos que incluyen la ID de usuario de Google autenticada de un usuario en el nombre, y este identificador se puede usar con las API de Google para obtener información personal sobre el usuario, como una imagen de perfil, según FingerprintJS. Esta información personal podría ayudar a un actor malicioso a determinar la identidad de un usuario.
El error afecta a las versiones más recientes de los navegadores que utilizan WebKit, el motor de navegador de código abierto de Apple, incluidos Safari 15 para Mac y Safari en todas las versiones de iOS 15 y iPadOS 15. El error también afecta a navegadores de terceros como Chrome en iOS 15 y iPadOS 15, ya que Apple requiere que todos los navegadores usen WebKit en iPhone y iPad. FingerprintJS tiene una demostración en vivo del error que indica que los navegadores más antiguos como Safari 14 para Mac no se ven afectados.
Actualmente, Apple no ha comentado sobre esta vulnerabilidad ni sobre cómo solucionarla. A corto plazo, los usuarios pueden utilizar un navegador alternativo como Chrome. Pero en cualquier caso, el navegador web siempre debe estar actualizado a la última versión.
