Un reporte de la firma de seguridad FingerprintJS señala la detección de un error crítico en Safari que permitiría la filtración de información confidencial del usuario, incluyendo registros del historial de navegación y cuentas de Google vinculadas.
Al parecer, el error reside en la implementación de IndexedDB de Safari en Mac e iOS, por lo que un sitio web puede ver los nombres de las bases de datos de cualquier dominio. Los nombres de la base de datos se pueden usar para extraer información de identificación de una tabla de búsqueda.
Por ejemplo, los servicios de Google almacenan una instancia de IndexedDB para cada una de las cuentas de usuario iniciadas, con el nombre de la base de datos correspondiente al ID de usuario de Google.
La explotación de estas falla permitiría a los atacantes usar un sitio web comprometido para extraer una ID de usuario de Google y luego usar esa ID para extraer más información personal sobre el usuario objetivo, pues la ID se usa para realizar solicitudes de API a los servicios de Google. En una prueba de concepto (PoC), se demuestra cómo los investigadores lograron obtener la imagen de perfil de una víctima.
La demostración solo mantiene una tabla de búsqueda de aproximadamente 30 nombres de dominio. No obstante, los investigadores creen que no hay razón para que la técnica no pueda aplicarse a un conjunto mucho más grande. Casi cualquier sitio web que utilice la API de JavaScript de IndexedDB podría ser vulnerable a este tipo de extracción de datos, agregan los expertos.
El error se presenta debido a que los nombres de todas las bases de datos IndexedDB están disponibles para cualquier sitio, por lo que la solución es que los sitios web solo puedan ver las bases de datos creadas por el mismo nombre de dominio que el suyo. Todas las versiones actuales de Safari en iPhone, iPad y Mac son vulnerables a la explotación. FingerprintJS asegura que el error fue notificado a Apple el 28 de noviembre, aunque aún no ha sido abordado por completo.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.