Una vulnerabilidad en Safari parece haber dejado al descubierto el historial de navegación y algunos datos de identidad de cientos de usuarios.
El problema fue descubierto durante el fin de semana y revelado en una publicación de blog del sábado por FingerprintJS, en donde indican que el error se presentó en Safari 15 mediante la API de base de datos indexaa (IndexedDB), la cual es parte del motor de desarrollo del navegador web WebKit de Apple.
Para entender lo sucedido, es necesario comprender que IndexedDB se puede utilizar para guardar datos en la computadora tales como los sitios web y así lograr que carguen más rápido cuando se visiten por segunda ocasión.
Este sistema detrás de Safari cuenta con un mecanismo de seguridad bajo la política del mismo origen, lo que significa que los sitios web guardados no puede interactuar de manera libre entre sí a menos que tengan el mismo nombre de dominio.
Esta política del mismo origen fue justo la que se vio afectada con la mencionada vulnerabilidad, lo que provocó que se expusieran los datos que IndexedDB ha recopilado a sitios web de los que no los recopiló.
Esto permite que además de identificar con precisión el historial de navegación, se han expuesto datos de algunas cuentas de acceso para servicios como los firmados por Google.
Safari en la mira
«Esto no solo implica que los sitios web no confiables o maliciosos pueden conocer la identidad de un usuario, sino que también permite vincular varias cuentas separadas utilizadas por el mismo usuario», se lee desde FingerprintJS.
Para los usuarios que han quedado vulnerables ante este error de seguridad las opciones son pocas. Se puede optar por navegar en modo privado desde Safari para reducir el daño o bien, para los usuarios que no son iOS, optar por utilizar otro navegador. Sin embargo, de acuerdo con la fuente, nada garantiza que la información sea recopilada con seguridad.
«Al visitar varios sitios web diferentes dentro de la misma pestaña (privada), todas las bases de datos con las que interactúan estos sitios web se filtran a todos los sitios web visitados posteriormente», aclaran desde FingerprintJS.