Un error en Safari 15 ha filtrado la información confidencialidad de los usuarios.

El fallo consiste en la publicación del historial de navegación o los datos correspondientes a cuentas personales de los consumidores de Google, se debe a un error en la implementación de la versión 15 de Safari que también repercute a los navegadores de IOS y IPadOS.

Quién ha descubierto este error ha sido FingerprintJS, el error consiste en la implementación de la interfaz de programación de aplicaciones (API) IndexedDB en Safari para MacOS y en cualquier navegador en iOS 15 e iPadOS 15, debido a la exigencia de Apple de que los navegadores usen el motor WebKit en sus sistemas operativos.

Esta API estaría violando la política del mismo origen (SOP), un mecanismo de seguridad que restringe la interactuación entre los documentos o ‘scripts’ cargados desde un origen con contenidos de otras ubicaciones.

FingerprintJS demuestra en su blog lo que ocurre en este bug de Safari 15.

Cada vez que un sitio web interactúa con una base datos concreta, esta se duplica con el mismo nombre en las demás pestañas y páginas activas dentro de la misma sesión del navegador, aunque esté vacía de contenido.

No obstante, la creación de otra base de datos con idéntico nombre es suficiente para que se pueda extraer de ella datos como el nombre de usuario de Google.

En la página de mostración que FingerprintJS ha creado tiene la función de que los usuarios puedan probar por sí mismos el funcionamiento erróneo de la API IndexedDB y cómo cualquier página puede acceder al ID de usuario único de Google. Hasta el momento se han detectado 30 sitios populares afectados por el bug, entre ellos Instagram, Netflix, Twitter, y Xbox. 

Desde FingerprintJS indican que más de 30 de los mil sitios web más visitados, según el ranking de Alexa, “interactúan con bases de datos indexadas directamente en su página de inicio, sin ninguna interacción adicional del usuario ni necesidad de autenticación”, aunque se sospecha que puede haber más páginas capaces de filtrar datos confidenciales.

Hay dos soluciones temporales para dicho error.

  • El uso de bloquedaores de publicidad como Adblock
  • Bloqueo de Javascript en el navegador

Desde FingerprintJS también recomiendan el cambiar el navegador predeterminado de tus dispositivos.