Error de Safari Filtra el Historial de Navegación y la Información de la Cuenta de Google de los Usuarios

Un error de software en Safari 15 de Apple puede permitir que cualquier sitio web obtenga tu reciente historial de internet e incluso algo de información de la cuenta de Google, así como revelar tu identidad.

Según una publicación en el blog de FingerprintJS, un servicio de huellas digitales del navegador y detección de fraudes, el error fue introducido en la implementación del API IndexedDB de Safari 15, que es parte del motor de desarrollo del navegador web WebKit de Apple.

Para aquellos que no lo saben, IndexedDB es un API de navegador para almacenamiento del lado del cliente diseñado para contener cantidades significativas de datos, que es compatible con todos los navegadores principales y se utiliza muy comúnmente.

Como la mayoría de las tecnologías modernas de navegadores web, IndexedDB sigue la política de mismo origen, que es un mecanismo de seguridad fundamental que restringe cómo los documentos o scripts cargados desde un origen pueden interactuar con recursos de otros orígenes. Las bases de datos indexadas están asociadas con un origen específico.

“Los documentos o scripts asociados con diferentes orígenes nunca deberían tener la posibilidad de interactuar con bases de datos asociadas con otros orígenes”, dice el blog.

En Safari 15 en macOS, y en todos los navegadores en iOS y iPadOS 15, el API IndexedDB está violando la política de mismo origen. Cuando un sitio web interactúa con una base de datos en Safari, FingerprintJS dice que se crea una nueva base de datos (vacía) con el mismo nombre en todos los demás marcos, pestañas y ventanas activas dentro de la misma sesión del navegador.

El hecho de que los nombres de las bases de datos se filtren a través de diferentes orígenes es una obvia violación de la privacidad. Permite que sitios web arbitrarios aprendan qué sitios web visita el usuario en diferentes pestañas o ventanas. Esto es posible porque los nombres de las bases de datos son típicamente únicos y específicos del sitio web.

Además, FingerprintJS observó que en algunos casos, los sitios web utilizan identificadores únicos específicos del usuario en los nombres de las bases de datos. Esto significa que los usuarios autenticados pueden ser identificados de manera única y precisa.

Algunos ejemplos populares serían YouTube, Google Calendar o Google Keep. Todos estos sitios web crean bases de datos que incluyen el ID de usuario de Google autenticado y en caso de que el usuario haya iniciado sesión en múltiples cuentas, se crean bases de datos para todas estas cuentas.

El ID de usuario de Google es un identificador interno generado por Google. Identifica de manera única una sola cuenta de Google, que puede ser utilizada con las APIs de Google para obtener información personal pública del propietario de la cuenta.

“No solo implica que sitios web no confiables o maliciosos pueden aprender la identidad de un usuario, sino que también permite vincular múltiples cuentas separadas utilizadas por el mismo usuario”, escribió FingerprintJS.

Ten en cuenta que estas filtraciones no requieren ninguna acción específica del usuario. Una pestaña o ventana que se ejecuta en segundo plano y consulta continuamente el API IndexedDB para bases de datos disponibles, puede aprender qué otros sitios web visita un usuario en tiempo real. Alternativamente, los sitios web pueden abrir cualquier sitio web en un iframe o ventana emergente para activar una filtración basada en IndexedDB para ese sitio específico.

FingerprintJS ha creado una página de demostración que muestra cómo un sitio web puede aprender la identidad de la cuenta de Google de cualquier visitante. La demostración está disponible en safarileaks.com. Puedes probarlo si tienes Safari 15 o superior en tu Mac, iPhone o iPad. Actualmente, la demostración solo detecta la presencia de más de 20 sitios web en otras pestañas o ventanas del navegador, incluidos Google Calendar, Youtube, Twitter y Bloomberg.

FingerprintJS dijo que reportó el error de Safari al WebKit Bug Tracker el 28 de noviembre de 2021 como error 233548; sin embargo, Apple aún no ha solucionado el problema.

Hasta entonces, la única solución puede ser bloquear todo JavaScript por defecto y solo permitirlo en sitios que sean de confianza. Otra alternativa para los usuarios de Safari en Macs es cambiar temporalmente a otro navegador. Desafortunadamente, en iOS y iPadOS esta no es una opción ya que todos los navegadores están afectados.