Un error a Safari filtra l'historial i les dades del compte de Google dels usuaris

Navegador Safari @ep

Un error en la implementació de la versió 15 de Safari , present també per a altres navegadors a iOS i iPadOS , dóna lloc a la filtració d'informació confidencial dels usuaris, com l'historial de navegació o dades corresponents als vostres comptes personals a Google.

Segons ha indicat el servei de detecció de fraus FingerprintJS al seu bloc, aquest error es deu a una fallada d'implementació de la interfície de programació d'aplicacions (API) IndexedDB a Safari per a MacOS ia qualsevol navegador a iOS 15 i iPadOS 15, degut a l'exigència d'Apple que els navegadors facin servir el motor WebKit en els seus sistemes operatius.

Segons expliquen, aquesta API estaria violant la política del mateix origen (SOP), un mecanisme de seguretat que restringeix la interactuació entre els documents o scripts carregats des d'un origen amb continguts d'altres ubicacions.

Un origen es diferencia pel seu esquema o protocol, el nom del domini i la URL que s'utilitza per accedir-hi, i cada base de dades està associada a un origen concret. D'aquesta manera, els documents i la informació associats a altres orígens no haurien de tenir la possibilitat d'interactuar amb bases de dades alienes.

Tal com FingerprintJS ha comprovat en una simulació a Safari per a MacOS i els navegadors afectats a iOS i iPadOS 15, aquesta interactuació permet que els llocs webs codificats puguin extreure informació de Google, així com els seus historials i el contingut de les finestres del navegador.

Cada vegada que un lloc web interactua amb una base de dades concreta, aquesta es duplica amb el mateix nom a les altres pestanyes i pàgines actives dins de la mateixa sessió del navegador, encara que està buida de contingut. No obstant això, la creació d'una altra base de dades amb nom idèntic és suficient perquè se'n puguin extreure dades com el nom d'usuari de Google.

Des de FingerprintJS indiquen que més de 30 dels mil llocs web més visitats, segons el rànquing d'Alexa, "interactuen amb bases de dades inexades directament a la pàgina d'inici, sense cap interacció addicional de l'usuari ni necessitat d'autenticació", encara que se sospita que hi pot haver més pàgines capaces de filtrar dades confidencials.

Apple va ser notificat d'aquest problema el 28 de novembre passat i, fins ara, no s'ha pronunciat sobre aquesta decisió. De moment, sembla que hi ha dues solucions possibles per frenar la filtració d'informació: utilitzar un bloquejador d'anuncis (per exemple, l'extensió AdBlock) o optar pel bloqueig de JavaScript. Dsede FingerprintJS també recomanen canviar el navegador predeterminat a MacOS a un altre de Safari diferent.