Se encontró una falla de seguridad en Safari 15 que puede filtrar su actividad de navegación e identidad personal

Resulta que Safari 15 tiene una vulnerabilidad que filtra tu actividad de navegación e incluso les permite a los atacantes conocer tu identidad. El problema surgió debido a un error introducido en la implementación de IndexedDB, que funciona como una API (interfaz de programación de aplicaciones) para almacenar datos estructurados. Los usuarios de la última versión de macOS, así como de iOS y iPadOS, se ven afectados por la vulnerabilidad. Si bien los usuarios de macOS pueden superar el impacto cambiando a un navegador de terceros, los usuarios de iPhone o iPad no tienen ese remedio en este momento.

como inicialmente reportado de 9to5Mac, la empresa de detección de huellas dactilares y fraude del navegador FingerprintJS descubrió la vulnerabilidad IndexedBD que afecta a Safari 15. API sigue el póliza del mismo origen esto tiene como objetivo restringir los documentos y scripts cargados desde una fuente para interactuar con recursos de otras fuentes. Esto ayuda a que un navegador web asegure su sesión en una pestaña desde el sitio web en el que inició sesión en la otra pestaña.

Sin embargo, los investigadores de FingerprintJS descubrieron que la implementación de Apple de Base de datos indexada viola la política. Esto da como resultado la laguna que un atacante puede explotar para obtener acceso a su actividad de navegación o identidad vinculada a su cuenta de Google.

“Cada vez que un sitio web interactúa con una base de datos, se crea una nueva base de datos (vacía) con el mismo nombre en todos los demás marcos, pestañas y ventanas activos dentro de la misma sesión del navegador”, dijeron los investigadores. Ella dijo mientras explicas la vulnerabilidad.

La falla permite a los piratas informáticos saber qué sitios web está visitando en diferentes pestañas o ventanas. También expone su ID de usuario de Google a sitios web distintos de aquellos en los que ha iniciado sesión con su cuenta de Google. La identificación de usuario de Google permite que los sitios web accedan a sus identificadores personales, incluida su imagen de perfil. Eventualmente, los piratas informáticos podrían examinar esos identificadores explotando la vulnerabilidad de Safari.

FingerprintJS afirma que la cantidad de sitios web que pueden interactuar y obtener acceso a la actividad de navegación de los usuarios y a los identificadores personales puede ser significativa. Para probar la falla, los investigadores también lanzaron una prueba de concepto.

Puede usar la demostración en su Mac, iPhone o iPad con Safari 15 para investigar la vulnerabilidad. Actualmente detecta sitios populares como Alibaba, Instagram, Twitter y Xbox para sugerir cómo se puede revelar la base de datos de un sitio a otros. Sin embargo, el problema no se limita a estos y también puede afectar a los usuarios que visitan otros sitios.

Los usuarios que cambian al modo privado en Safari 15 pueden reducir el rango de información disponible a través de la filtración, ya que las sesiones de navegación privada en el navegador están limitadas a una sola pestaña. Sin embargo, terminará perdiendo sus datos si visita varios sitios web uno tras otro dentro de la misma pestaña.

Sin embargo, los usuarios de Mac pueden cambiar a un navegador de terceros, como Google Chrome o Mozilla Firefox, para corregir la falla de seguridad.

Sin embargo, en iOS, el problema no se limita a Safari y no se puede solucionar cambiando a Chrome u otro navegador de terceros. Es porque Apple no permite que los navegadores web de iOS usen un motor de navegador de terceros en iPhones y iPads.

Los usuarios pueden limitar la fuga de datos desactivando JavaScript en su navegador por el momento. Pero eso afectará su experiencia ya que la mayoría de los sitios hoy en día usan JavaScript para proporcionar una navegación moderna.

FingerprintJS informó el problema a WebKit Bug Tracker el 28 de noviembre. Sin embargo, la falla todavía existe.

Gadgets 360 se ha comunicado con Apple para comentar sobre la vulnerabilidad y si está trabajando en una solución. Este artículo se actualizará cuando la empresa responda.

Las vulnerabilidades que afectan a Safari no son nada nuevo. El año pasado, Apple tuvo que relanzar su navegador para solucionar problemas de seguridad y errores introducidos por una actualización anterior. La última versión de Safari (versión 15.2), que también se lanzó en diciembre reparado Seis problemas de seguridad conocidos de WebKit que existían en versiones anteriores que podrían permitir a los atacantes obtener acceso malintencionado a los datos del usuario.


Descubra lo último de Consumer Electronics Show en Gadgets 360, en nuestro centro CES 2022.

.

Compruebe también

Según se informa, la serie Google Pixel 10 debutará con el módem MediaTek, abandonando a Qualcomm

Según se informa, la serie Google Pixel 10 está lista para cambiar las cosas al …

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *