Una falla en Safari 15 podría filtrar su actividad de navegación y también podría revelar cierta información personal adjunta a su cuenta de Google, según FingerprintJS, un servicio de detección de fraude de huellas dactilares y navegador.
La vulnerabilidad es causada por un problema con la implementación de Apple de IndexedDB, una interfaz de programación de aplicaciones (API) que almacena datos en su navegador.
En qué consiste el error de Safari y por qué se puede filtrar información personal
IndexedDB se adhiere a una política de origen, que evita que una fuente interactúe con los datos recopilados de otras fuentes; básicamente, solo el sitio web que genera los datos puede acceder a ellos. Por ejemplo, si abre su cuenta de correo electrónico en una pestaña y luego abre un sitio web malicioso en otra pestaña, la política de origen evitará que el sitio malicioso sea visto y comprometido con su correo electrónico.
La implementación de Apple de la API IndexedDB en Safari 15 en realidad no respeta la política de origen. Cuando una página web interactúa con la base de datos en Safari, “se crea una nueva base de datos (vacía) con el mismo nombre en todos los demás marcos, pestañas y ventanas activas dentro de la misma sesión del navegador”, tal cual explica FingerprintJS.
Esto significa que otros sitios web pueden ver los nombres de otras bases de datos creadas en otros sitios web, que pueden contener detalles específicos sobre su identidad.
Los sitios web que utilizan su cuenta de Google, como YouTube, Google Calendar y Google Keep, crean bases de datos en su nombre utilizando su ID de usuario único de Google.
Su identificación de usuario de Google le permite al gigante tecnológico acceder a su información disponible públicamente, como su foto de perfil, que los errores de Safari pueden mostrar en otros sitios web.