Un fallo en Safari podría filtrar los datos de navegación de los usuarios y la información de la cuenta de Google.
Safari, un fallo podría filtrar información de la cuenta de Google
Un fallo descubierto en Safari 15 podría filtrar información sobre los sitios visitados en línea. Peor aún, podría exponer tu ID personal de Google y la información de tu perfil.
Según informa 9to5 Mac, el fallo fue descubierto a finales de noviembre por FingerprintJS, una empresa con sede en Chicago especializada en la prevención del fraude online. Según un anuncio publicado el viernes 14 de enero, el problema proviene de un sistema que Safari 15 y el resto de los principales navegadores web utilizan para almacenar en caché la información de navegación en un teléfono, tableta u ordenador.
Se llama IndexedDB y es ampliamente utilizado por los complejos sitios web actuales. Normalmente, la información almacenada en IndexedDB sólo es accesible desde una página web en el mismo dominio que la creó. Si Google lo crea, por ejemplo, sólo se puede acceder a la información en caché desde otra página web de Google.
Esta política del mismo origen está diseñada para proteger contra sitios maliciosos que pueden intentar robar información del navegador.
Lo que FingerprintJS descubrió es que la versión actual de WebKit, el motor del navegador que hace funcionar a Safari en los Mac, así como a todos los navegadores en iOS y iPadOS, podía ser engañada para saltarse la comprobación del mismo origen.
En este sentido, Fingerprint JS ha explicado que este fallo «permite a sitios web arbitrarios aprender qué sitios se visitan en diferentes pestañas o ventanas». Además, «algunos sitios web utilizan identificadores de usuario únicos y específicos en los nombres de sus bases de datos, lo que significa que los usuarios autentificados pueden ser identificados de forma única y precisa».
Sugerencias y correcciones de errores de FingerprintJS
Para demostrar el fallo, FingerprintJS construyó un sitio web en safarileaks.com. Inicia sesión con la última versión de Safari (o con otro navegador con Webkit en un iPhone o iPad) y podrás ver qué tipo de información de IndexedDB se filtra.
También es posible que veas tu foto de perfil de Google, que se puede buscar mediante un ID vinculado a las cachés de IndexedDB de ciertos sitios.
Error: SquashedFingerprintJS envió este problema al rastreador de errores de WebKit el 28 de noviembre. Luego, el lunes 17 de enero, actualizaron su entrada en el blog para anunciar que los desarrolladores de Apple habían codificado una solución y marcaron que el problema se había resuelto.
Sin embargo, el cambio no tendrá efecto inmediato. Las actualizaciones tardan en desplegarse, y podría pasar un tiempo antes de que los dispositivos reciban la corrección.
Por ahora, puedes protegerte del fallo utilizando un navegador que no sea WebKit, como Firefox, en un Mac. En un iPhone o iPad, es posible desactivar temporalmente Javascript, pero esto tendrá inevitablemente inconvenientes.