Un fallo en el navegador de Apple filtra datos personales entre diferentes webs
La firma FingerprintJS denuncia una brecha de seguridad en Safari que permite robar datos de los usuarios entre las diferentes pestañas del navegador.
17 enero, 2022 10:32Noticias relacionadas
Brechas de seguridad como la reciente Log4j demuestran lo peligroso que puede ser un simple fallo informático. Los hackers pueden aprovechar vulnerabilidades como la detectada en Safari 15 para robar datos personales de los usuarios de Apple, tanto de España como del resto del mundo, que usan cuentas de Google y otros servicios.
La empresa FingerprintJS, un servicio de detección de huellas dactilares, alerta de un error en el navegador de Apple que permitiría rastrear las webs que visitan los usuarios y acceder a información privada como sus cuentas de Google. La firma ha avisado a Apple para que solvente esta brecha y lance una actualización con la solución.
La vulnerabilidad surge de un error al implementar Apple, IndexedDB, una API que almacena datos en el navegador. Esta herramienta para programadores, cumple con las medidas de protección de datos, pero al aplicarse en el código de Safari 15 se habría dejado una puerta abierta a los piratas informáticos.
Robando datos
Al abrir varias pestañas en un mismo navegador, por ejemplo, el correo electrónico y una web falsa creada por ciberdelincuentes, la seguridad del navegador impide que la web fraudulenta pueda conocer lo que el usuario hace en la otra pestaña y robar los datos del email de esa persona. Esta medida, conocida como política del mismo origen, que restringe el acceso de las páginas web a únicamente los datos que el usuario genera en este sitio y no en otros, es la que se habría desactivado al aplicar la API IndexedDB en Safari 15.
Ante este fallo, FingerprintJS dice que "se crea una nueva base de datos (vacía) con el mismo nombre en todos los demás marcos, pestañas y ventanas activos dentro de la misma sesión del navegador". Esto significa que otras webs pueden conocer el nombre y detalles de las bases de datos creadas por otros portales en diferentes pestañas.
Así, los ciberdelincuentes conocen el perfil del usuario en otros servidores y las páginas que esta persona consulta. En concreto, FingerprintJS señala que los sitios web que usan la cuenta de Google, como YouTube, Google Calendar y Google Keep, son vulnerables a esta brecha. El error de Safari puede exponer el nombre y la foto de perfil y más datos a otros sitios web.
Los investigadores de FingerprintJS han realizado una demostración y en ella se muestra cómo, a través de este fallo, puede conocer el tipo de dispositivo desde el que se usa Safari, el ID de Google del usuario y si este accede a unas 30 páginas populares como Instagram, Netflix, Twitter o Xbox. Aunque toda esta información no da contraseñas y otras detalles para realizar una suplantación de identidad, si da información personal para elaborar un ataque dirigido a esa persona y tener más éxito.
Protección contra la brecha
Los investigadores de FingerprintJS aseguran que este problema también afecta al modo de navegación privada de Safari, por lo que sus usuarios no tendrían mucho margen de actuación para proteger sus datos personales. 9to5Mac recalca que casi cualquier sitio web que utilice la API de JavaScript de IndexedDB podría ser vulnerable a este tipo de extracción de datos.
De momento, utilizar otros navegadores como Chrome o Edge sería la única opción para los miles de usuarios de Safari en el mundo, además de prestar atención a futuras actualizaciones del sistema. La firma FingerprintJS confirma en su informe que alertaron de su descubrimiento a Apple el 28 de noviembre para que tomara medidas al respecto, aunque por ahora la brecha sigue abierta.