Un error en el navegador Safari 15 de Apple recientemente divulgado puede ser utilizado por sitios nefastos para extraer el historial de navegación de las personas y obtener su ID de Google para recopilar más datos personales, informa un detector de fraude.
El problema identificado por FingerprintJS, un servicio de detección de fraudes por recopilación de datos del navegador, reside en IndexedDB – una interface de programación de aplicaciones o API que se utiliza para almacenar grandes cantidades de datos en un navegador.
Normalmente, dichas interfaces de recopilación de datos operan dentro de la política de “mismo origen”: solo permiten que los sitios web con los que interactúa una persona accedan a los datos generados por cada sitio web en sí, pero no por otros. Por ejemplo, si una persona abre su cuenta de correo electrónico en una pestaña del navegador y otra página web en otra pestaña, esta página web no podrá acceder a ningún dato relacionado con el correo electrónico.
Sin embargo, cuando se trata de Safari 15, este no es el caso. Debido a la aplicación de Apple de la API IndexedDB, cada vez que un sitio web interactúa con la base de datos del navegador, se crea una nueva base de datos con el mismo nombre para todas las demás pestañas activas. Esto significa que cada uno de estos sitios puede acceder a los nombres de bases de datos de todos los demás sitios con los que interactúa una persona al mismo tiempo.
Esto puede ser particularmente inquietante cuando una persona interactúa con algunas páginas web que requieren algunos datos personales, como cuentas de YouTube o Google. Cualquier página vinculada con un ID de Google crea bases de datos con el ID de usuario de Google único de una persona vinculado con sus nombres, que luego se comparten de facto con todos los demás sitios web que abre una persona y, por lo tanto, pueden ser explotados potencialmente por actores nefastos, incluso para obtener más datos personales una vez que conocen el ID de Google del usuario.
Los propietarios de dispositivos de Apple pueden usar un navegador que no sea Safari para evitar el error, pero hay poco que los propietarios de iPhone y iPad pueden hacer, ya que la prohibición del motor de navegador de terceros de Apple en todos los dispositivos iOS significa que todos los navegadores se ven afectados. El modo privado en Safari 15 también se ve afectado.
FingerprintJS incluso creó una demostración especial para mostrar cómo Safari recopila los datos del sitio web, el historial de navegación y los datos personales de una manera que revela la foto de perfil de Internet de una persona. FingerprintJS también dijo que informó del problema al rastreador de errores WebKit el 28 de Noviembre, pero hasta el momento no se han publicado actualizaciones para solucionar el problema. Apple tampoco ha respondido a las solicitudes de comentarios de los medios de comunicación hasta el momento.
Fuente: RT
