Un fallo en Safari, permite a los sitios web rastrear la actividad de navegación y los identificadores únicos

Publicado por: Manuel Abreu Ortiz - social@manuelabreuo.com

Investigadores han encontrado un fallo en el navegador Safari de Apple que permite a los sitios web rastrear las actividades de navegación de un usuario en otros sitios.

La vulnerabilidad, descubierta por el servicio de huellas dactilares del navegador FingerprintJS, también expone el ID único de un usuario para algunos sitios web a otros sitios que visita.

El fallo, encontrado en el motor del navegador WebKit de Apple, afecta a Safari 15 en macOS y a todos los navegadores en iOS y iPadOS 15. Radica en la implementación de WebKit de la API de la base de datos indexada, comúnmente llamada IndexedDB, una API de JavaScript que los navegadores utilizan para acceder a una base de datos de objetos, y que con frecuencia almacena datos generados al interactuar con una aplicación web. Esto incluye el ID único de un usuario para interactuar con las aplicaciones web, como su ID de Google.

Cuando se implementa correctamente, IndexedDB sigue el principio del mismo origen. Esto garantiza que la información almacenada de una página web sólo esté disponible para las páginas web del mismo dominio. Impide que las páginas web demasiado curiosas accedan a la información almacenada de otro dominio, lo que podría incluir datos sensibles del usuario o de la sesión.

FingerprintJS calificó el fallo como una violación de la privacidad. “Permite que sitios web arbitrarios sepan qué sitios web visita el usuario en diferentes pestañas o ventanas”, dijo la empresa en su análisis del fallo. “Esto es posible porque los nombres de las bases de datos suelen ser únicos y específicos de los sitios web”.

La empresa descubrió que algunos sitios web utilizan datos de IndexedDB específicos del usuario, como los números de identificación, en los nombres de sus bases de datos de IndexedDB, lo que facilita que cualquier otro sitio web averigüe el ID de un usuario en otros sitios. El uso de este ID para buscar los activos del usuario (como las fotos del perfil) podría permitir su identificación, advirtió la empresa. Los sitios web de Google almacenan los números de identificación de esta manera, lo que hace posible que otros sitios puedan obtener los ID de Google utilizando el fallo.

El fallo afecta a todos los navegadores de iOS 15 porque Apple obliga a usar WebKit en esta plataforma en sus directrices para desarrolladores. La sección 2.5.6 dice que “las apps que navegan por la web deben usar el framework WebKit apropiado y el Javascript de WebKit”.

FingerprintJS dijo que había notificado a Apple de este fallo el 28 de noviembre, pero que Apple no lo había parcheado. Los ingenieros de Apple comenzaron a crear un parche el domingo 17 de febrero, el día en que FingerprintJS publicó los detalles del fallo.

Info – Ciberseguridad Latam

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *