Llegamos a ustedes gracias a:



Alertas de Seguridad

La falla en Safari 15 podría exponer

Su actividad de navegación y sus datos personales

[17/01/2022] Apenas unos días después de que Apple corrigiera una falla que podría permitir a un hacker enviar su iPhone a un bucle interminable de caídas, FingerprintJS ha descubierto una vulnerabilidad de Safari que podría exponer su actividad en Internet y sus datos personales a un sitio web abierto.

La falla se origina en la API IndexedDB, que se utiliza para el almacenamiento en el lado del cliente de importantes cantidades de datos estructurados, según Mozilla. Como explica FingerprintJS, dado que IndexedDB es una API de bajo nivel utilizada por los principales navegadores, muchos desarrolladores optan por utilizar envoltorios que abstraen la mayor parte de los aspectos técnicos y proporcionan una API más fácil de usar y más amigable para los desarrolladores.

Por ello, la versión de IndexedDB de Safari viola el mecanismo de seguridad del mismo origen que restringe cómo los documentos o scripts cargados desde un origen, pueden interactuar con recursos de otros orígenes, según FingerprintJS. En consecuencia, sitios web arbitrarios podrían espiar los otros sitios web que un usuario visita en diferentes pestañas o ventanas.

Dado que algunos sitios web utilizan identificadores específicos del usuario en los nombres de las bases de datos, FingerprintJS explica que los usuarios autentificados pueden ser identificados de forma única y precisa por sitios como YouTube, Google Calendar y Google Keep. Y como el usuario se conecta a esos sitios utilizando su ID de Google, podrían filtrarse las bases de datos creadas para esa cuenta, que incluyen información personal. FingerprintJS descubrió otros sitios vulnerables a la falla, como Twitter y Bloomberg.

Puede ver la falla en acción utilizando una demo creada por FingerprintJS. Los usuarios de iOS e iPadOS tienen menos opciones debido al manejo de los motores de los navegadores por parte de Apple, aunque FingerprintJS señala que los usuarios pueden bloquear todo el JavaScript por defecto y solo permitirlo en sitios de confianza. Eso, o simplemente esperar a que llegue una actualización. Apple está preparando el lanzamiento de iOS 15.3 y macOS 12.2, pero no está claro si incluye una corrección de Safari.