Descubren falla en el navegador Safari que puede revelar la actividad de navegación

Una falla en Safari 15 puede filtrar tu actividad de navegación, y también puede revelar parte de la información personal asociada a tu cuenta de Google, según los hallazgos de FingerprintJS, un servicio de detección de fraudes y huellas de navegador.

La vulnerabilidad proviene de un problema con la implementación de Apple de IndexedDB, una interfaz de programación de aplicaciones (API) que almacena datos en el navegador.

Como explica FingerprintJS, IndexedDB se rige por la política del mismo origen, que restringe que un origen interactúe con los datos que se recogieron en otros orígenes – esencialmente, sólo el sitio web que genera los datos puede acceder a ellos. Por ejemplo, si abres tu cuenta de correo electrónico en una pestaña y luego abres una página web maliciosa en otra, la política del mismo origen impide que la página maliciosa vea y se entrometa en tu correo electrónico.

FingerprintJS descubrió que la aplicación de Apple de la API IndexedDB en Safari 15 en realidad viola la política del mismo origen. Cuando un sitio web interactúa con una base de datos en Safari, FingerprintJS dice que «se crea una nueva base de datos (vacía) con el mismo nombre en todos los demás marcos, pestañas y ventanas activos dentro de la misma sesión del navegador».

Esto significa que otros sitios web pueden ver el nombre de otras bases de datos creadas en otros sitios, que podrían contener detalles específicos de tu identidad. FingerprintJS señala que los sitios que utilizan tu cuenta de Google, como YouTube, Google Calendar y Google Keep, generan bases de datos con tu ID de usuario de Google único en su nombre. Tu ID de usuario de Google permite a Google acceder a tu información disponible públicamente, como tu foto de perfil, que el fallo de Safari puede exponer a otros sitios web.

FingerprintJS ha creado una prueba de concepto que puedes probar si tienes Safari 15 o superior en tu Mac, iPhone o iPad. La demo utiliza la vulnerabilidad IndexedDB del navegador para identificar los sitios que tienes abiertos (o que has abierto recientemente), y muestra cómo el bug raspa la información de tu ID de usuario de Google. Actualmente sólo detecta 30 sitios populares que están afectados por el fallo, como por ejemplo Instagram, Netflix, Twitter, Xbox, pero es probable que afecte a muchos más.

Por desgracia, no hay mucho que puedas hacer para evitar el problema, ya que FingerprintJS dice que la falla también afecta al modo de navegación privada en Safari. Puedes usar un navegador diferente en macOS, pero la prohibición de motores de navegación de terceros de Apple en iOS significa que todos los navegadores están afectados. FingerprintJS informó de la filtración al WebKit Bug Tracker el 28 de noviembre, pero todavía no ha habido una actualización de Safari.