Un error en Safari filtra la navegación reciente del usuario y el identificador Google User ID

FingerprintJS, empresa que desarrolla herramientas contra el fraude digital, ha hecho público un fallo en el navegador Safari de Apple que deja expuesta información relevante del usuario a los sitios web que visita. Datos como el historial reciente de navegación, el identificador Google User ID y la imagen de perfil resultan accesibles por todos los sitios webs que se visiten en una sesión debido a la implementación realizada de la API IndexedDB.

Una API es una interfaz de programación de aplicaciones, un conjunto de protocolos y reglas para integrar un determinado “software” con otras aplicaciones y permitir que se comuniquen entre sí. IndexedDB es una API de uso común en navegadores que almacena localmente información del usuario y cuya implementación debe seguir la política del “mismo origen” (Same Origin Policy) para prevenir que la información que guarda de la navegación que se realice en una web sea accesible por otras webs que se visiten. Por ejemplo, si el usuario abre su correo en una pestaña y accede a un sitio malicioso en otra, esta política evitará que el segundo acceda a la información correspondiente a la primera pestaña.

Según informa el medio The Verge, FingerprintJS descubrió que la implementación que realiza Apple en el navegador Safari viola la política del “mismo origen”. Cuando un sitio web interactúa con una base de datos en Safari, “se crea una nueva base de datos (vacía) con el mismo nombre en todos los demás marcos, pestañas y ventanas activas dentro de la misma sesión del navegador”. En consecuencia, las webs pueden leer el nombre de las bases de datos creadas en la navegación por otros sitios webs que puede contener detalles específicos sobre la identidad del usuario así como el nombre del sitio al que corresponden.

La empresa contra el fraude digital señala que las webs que requieren la cuenta de Google del usuario (YouTube, Gmail, Google Keep, etc) crean bases de datos incluyendo en el nombre el Google User ID del usuario. Este no corresponde con la dirección de Gmail sino que es un identificador interno único generado por Google asociado a cada cuenta Google. Con este dato es posible acceder a información disponible públicamente como la foto de perfil. También queda expuesta la actividad de navegación reciente al corresponder cada base de datos a una web en particular.

El fallo ha sido introducido con la implementación de IndexedDB en Safari 15, pero en los sistemas operativos iOS 15 (iPhone) e iPadOS 15 (Ipad) afecta a cualquier navegador que se utilice, no sucede así MacOS (ordenadores Mac).

FingerprintJS ha creado una web (safarileaks.com) que permite a cualquier usuario, desde un navegador afectado, comprobar la información que otras webs pueden leer aprovechando la vulnerabilidad.  El fallo fue reportado públicamente el pasado viernes, aunque Apple tenía conocimiento del mismo desde el pasado 28 de noviembre. FingerprintJS ha actualizado su información indicando que los ingenieros de Apple comenzaron a trabajar en el “bug” ayer domingo y ya habrían encontrado una solución que aún ha de desplegarse en forma de actualización para que llegue al usuario final.