Un fallo de software introducido en la implementación de la API IndexedDB de Apple Safari 15 podría ser aprovechado por un sitio web malicioso para rastrear la actividad en línea de los usuarios en el navegador web y, lo que es peor, incluso revelar su identidad.
La vulnerabilidad, denominada IndexedDB Leaks, fue revelada por la empresa de software de protección contra el fraude FingerprintJS, que informó del problema al fabricante del iPhone el 28 de noviembre de 2021.
IndexedDB es una interfaz de programación de aplicaciones (API) de JavaScript de bajo nivel proporcionada por los navegadores web para gestionar una base de datos NoSQL de objetos de datos estructurados, como archivos y blobs.
"Como la mayoría de las soluciones de almacenamiento web, IndexedDB sigue una política de mismo origen", señala Mozilla en su documentación de la API. "Así que aunque puedes acceder a los datos almacenados dentro de un dominio, no puedes acceder a los datos a través de diferentes dominios".
El mismo origen es un mecanismo de seguridad fundamental que garantiza que los recursos recuperados desde distintos orígenes -es decir, una combinación del esquema (protocolo), el host (dominio) y el número de puerto de una URL- estén aislados unos de otros. Esto significa que "http[:]//ejemplo[.]com/" y "https[:]//ejemplo[.]com/" no tienen el mismo origen porque utilizan esquemas diferentes.
Al restringir la forma en que un script cargado por un origen puede interactuar con un recurso de otro origen, la idea es secuestrar los scripts potencialmente maliciosos y reducir los posibles vectores de ataque al impedir que un sitio web fraudulento ejecute código JavaScript arbitrario para leer datos de otro dominio, por ejemplo, un servicio de correo electrónico.
Pero ese no es el caso de cómo Safari maneja la API IndexedDB en Safari en iOS, iPadOS y macOS.
"En Safari 15 en macOS, y en todos los navegadores en iOS y iPadOS 15, la API IndexedDB está violando la política del mismo origen", dijo Martin Bajanik en un escrito. "Cada vez que un sitio web interactúa con una base de datos, se crea una nueva base de datos (vacía) con el mismo nombre en todos los demás marcos, pestañas y ventanas activos dentro de la misma sesión del navegador".
Una consecuencia de esta violación de la privacidad es que permite a los sitios web saber qué otros sitios web está visitando un usuario en diferentes pestañas o ventanas, por no hablar de identificar con precisión a los usuarios en los servicios de Google como YouTube y Google Calendar, ya que estos sitios web crean bases de datos IndexedDB que incluyen los ID de usuario de Google autenticados, que es un identificador interno que identifica de forma exclusiva una única cuenta de Google.
"Esto no sólo implica que los sitios web no confiables o maliciosos puedan conocer la identidad de un usuario, sino que también permite la vinculación de múltiples cuentas separadas utilizadas por el mismo usuario", dijo Bajanik.
Para empeorar las cosas, la filtración también afecta al modo de navegación privada en Safari 15 en caso de que un usuario visite varios sitios web diferentes desde la misma pestaña de la ventana del navegador.
"Este es un gran error", tuiteó Jake Archibald, representante de los desarrolladores de Google Chrome. "En OSX, los usuarios de Safari pueden cambiar (temporalmente) a otro navegador para evitar que sus datos se filtren a través de los orígenes. Los usuarios de iOS no tienen esa opción, porque Apple impone una prohibición a otros motores de navegación".
Fuente: https://thehackernews.com/2022/01/new-unpatched-apple-safari-browser-bug.html