Los investigadores de seguridad de FingerprintJS han descubierto un problema en la implementación de la API de IndexedDB, que debe seguir un mecanismo de seguridad del mismo origen mediante el cual las bases de datos indexadas, los scripts y los documentos de un origen no deben interactuar con objetos de otro origen.
Sin embargo, IndexedDB viola esta política. Los investigadores notaron que cada vez que un sitio web contacta la base de datos, Safari 15 en macOS y todas las versiones del navegador en iOS y iPadOS 15 crean una base de datos nueva y vacía pero compartida en todas las pestañas, marcos y ventanas activos dentro del navegador. la misma sesión del navegador. Para empeorar las cosas, esta base de datos duplicada de diferentes fuentes se crea con el mismo nombre que la original, lo que significa que es más fácil para el autor del sitio web malicioso determinar la privacidad de los datos a los que está accediendo.
Los analistas de seguridad han notado que algunos sitios web, como YouTube, Google Calendar y Google Keep, crean bases de datos basadas en identificadores, como una identificación de usuario de Google, que luego se pueden usar para rastrear y vincular datos heterogéneos que pertenecen a individuos. La publicación del blog menciona que:
Tenga en cuenta que estas filtraciones no requieren ninguna acción específica del usuario. Una pestaña o ventana que se ejecuta en segundo plano y consulta constantemente la API de IndexedDB para las bases de datos disponibles puede saber qué otros sitios web está visitando el usuario en tiempo real. Además, los sitios web pueden abrir cualquier sitio web en un iframe o ventana emergente para provocar una fuga basada en IndexedDB para ese sitio web en particular.
Esencialmente, cualquier sitio web que use IndexedDB se ve afectado, lo que también significa que la privacidad de los usuarios de esos sitios web está en riesgo. Para empeorar las cosas, incluso las personas que usan Safari en modo privado no están seguras, aunque el hecho de que el modo privado esté limitado a una pestaña reduce la posibilidad de fuga de datos. Sin embargo, si visita varios sitios web en la misma pestaña, sus datos terminarán en todos esos sitios web.
FingerprintJS informó este problema a Apple el 28 de noviembre de 2021, pero Safari aún no ha recibido una actualización para este error. Los investigadores también publicaron un código de prueba de concepto y una demostración del error, lo que también significa que existe una mayor probabilidad de que los atacantes exploten el exploit y que Apple necesita publicar una solución lo antes posible.
Por el momento, la única forma de protegerse de la fuga de datos y el seguimiento es bloquear todo JavaScript de forma predeterminada, pero eso probablemente hará que sea más difícil navegar por la web. Las personas que usan macOS también pueden cambiar temporalmente a un navegador diferente, pero desafortunadamente esta solución no funcionará para los usuarios de iOS, ya que todos los navegadores del sistema operativo móvil de Apple se basan en WebKit, lo que significa que también se ven afectados.
Deja una respuesta