Otro gravísimo fallo de seguridad en Mac permite espiar tu cuenta de Google

Safari vuelve a estar en el punto de mira. Hace unos días, los operadores se pusieron hechos una furia por una nueva función que iba a impedir bloquear páginas web o conocer el historial de navegación de los usuarios. Ahora, un fallo en Safari permite a un atacante conocer todo tu historial y tu identificador único de tu cuenta de Google.

La vulnerabilidad fue descubierta por el servicio de detección de fraude Fingerprint JS, quien contactó con los creadores del WebKit afectado y ofrecieron el código de manera gratuita y abierta para solucionarlo. El fallo no ha sido solucionado, y por ello el equipo de Fingerprint JS ha decidido hacer pública la vulnerabilidad para acelerar su parcheo.

El fallo no está parcheado

El fallo radica en una mala implementación de la API de IndexedDB. Esta API está diseñada para que documentos o scripts originados en un sitio no interactúen con recursos que tengan otros orígenes. Una web abierta en una pestaña no debe poder compartir datos con otra pestaña, estando todas siempre aisladas entre sí. De no ser así, un malware podría conocer, por ejemplo, nuestros datos bancarios.

Sin embargo, la vulnerabilidad de Safari permitía interactuar entre sí a páginas web separadas. Si usas Safari 15, que usa IndexedDB, cada vez que una web interactúa con una base de datos, una nueva vacía con el nuevo nombre se crea con todos los marcos, pestañas y ventanas activos en la misma sesión del navegador. La consecuencia es que otras webs pueden acceder a los nombres de las bases de datos, pudiendo conocer, por ejemplo, información sobre una cuneta de Google.

Safari

Entre esa información está el identificador único de una cuenta de Google. Con ello, un atacante puede obtener información personal, e identificar múltiples cuentas que el usuario tenga por separado. El equipo de investigadores ha descubierto que, de las 1.000 webs más visitadas del mundo según el ranking de Alexa, hay 30 que usan bases de datos indexadas vulnerables. Navegar en modo incógnito o modo privado no soluciona el problema, aunque sí ayuda a limitar la cantidad de información disponible.

Evita usar Safari mientras lo parchean

El equipo que ha descubierto la vulnerabilidad ha creado una demostración para identificar los sitios a los que un usuario con cuenta de Google ha abierto o accedido recientemente. La web busca 20 páginas web específicas en las que funciona la vulnerabilidad si se usa Safari 15 con macOS, iOS 15 o iPadOS 15.

Al no estar parcheado, lo único que se puede hacer para no verse afectado es bloquear JavaScript, no usar cuentas de Google, o utilizar otro navegador web. Curiosamente, Apple se negó en junio de 2020 a implementar 16 APIs web en el WebKit de Safari argumentando que podían representar un problema para la privacidad. Sin embargo, muchos argumentaron que este movimiento se hacía para forzar a los usuarios a que utilizasen apps de iOS nativas.