El error de Safari 15 filtra sus pestañas abiertas y cuentas de Google

El error de Safari 15 filtra sus pestañas abiertas y cuentas de Google



Se descubrió un error en Safari 15 que podría filtrar la actividad del navegador de los usuarios de Mac, iPhone y iPad y hacer que la información personal asociada con sus cuentas de Google sea visible para otros. FingerprintJS descubrió la vulnerabilidad e informa que, entre otras cosas, las páginas web visitadas pueden volverse visibles para personas no autorizadas.

El problema radica en la forma en que Safari para Mac e iOS implementa Indexed DB, una API que almacena datos en el navegador.

Según los informes, Apple se dio cuenta del problema a fines de noviembre, pero aún no ha tomado medidas. Esto es a pesar del hecho de que representa una violación de la privacidad potencialmente grave.

La fuga

Cuando accede a un sitio web que utiliza una base de datos local en una nueva pestaña, se crea una nueva base de datos vacía con el mismo nombre en todas las demás pestañas y ventanas (excepto en las privadas).

La mayoría de los sitios que utilizan estas bases de datos dan a la base de datos un nombre que deja claro de qué sitio se trata. El resultado es que todos los demás sitios abiertos teóricamente pueden ver qué sitio acaba de abrir. Cuando cierras la pestaña, estas bases de datos se eliminan, pero para entonces ya es demasiado tarde.

«El hecho de que los nombres de las bases de datos se filtren a través de diferentes orígenes es una clara violación de la privacidad», dice FingerprintJS. «Permite que sitios web arbitrarios aprendan qué sitios web visita el usuario en diferentes pestañas o ventanas».

Problemas más serios con Google

Desafortunadamente, no termina ahí. Algunos sitios también usan nombres únicos que se pueden vincular a un usuario específico. Google es el mayor y peor ejemplo aquí. Esto se debe a que Google usa una ID de usuario interna como nombre de la base de datos, lo que significa que un sitio programado para explotar el error de Safari descubrirá el código de ID interno de su cuenta de Google.

Por si fuera poco, también se crea una base de datos por cada cuenta de Google en la que estés logueado. Por ejemplo, si ha iniciado sesión en una cuenta personal y una cuenta de trabajo, el sitio de espionaje sabrá sobre ambas y puede ocultar la conexión entre ellas.

Nuestra recomendación

Hasta que Apple corrija el error, le recomendamos que no inicie sesión en Google en Safari. El error es fácil de explotar y está garantizado para ser utilizado por desarrolladores sin escrúpulos para crear bases de datos de ID de Google únicos de los usuarios.

De hecho, es mejor recomendar a los usuarios que se preocupan por la privacidad que solo usen nuevas ventanas privadas para cada página que visiten, o hasta entonces, que usen otro navegador que también se tome en serio la privacidad, como Firefox o Brave.

Recopilamos los mejores navegadores para Mac y los mejores navegadores para iPhone en artículos separados.

Este artículo apareció originalmente en Macworld Suecia. Traducción (usando DeepL) e informes adicionales de David Price.

Deja un comentario