SEGRE

Un error a Safari filtra l'historial i dades del compte de Google dels usuaris

Logotip del navegador safari.

Un error a Safari filtra l'historial i dades del compte de Google dels usuaris

Publicat per

Creat:

Actualitzat:

Un error en la implementació de la versió 15 de Safari, present també per a altres navegadors a iOS i iPadOS, dona lloc a la filtració d’informació confidencial dels usuaris, com l’historial de navegació o dades corresponents als seus comptes personals a Google.

Segons ha indicat el servei de detecció de fraus FingerprintJS al seu blog, aquest error es deu a un error d’implementació de la interfície de programació d’aplicacions (API) IndexedDB a Safari per a MacOS i a qualsevol navegador en iOS 15 i iPadOS 15, a causa de l’exigència d’Apple que els navegadors utilitzin el motor WebKit en els seus sistemes operatius.

Segons expliquen, aquesta API estaria violant la política del mateix origen (SOP), un mecanisme de seguretat que restringeix la interactuació entre els documents o scripts carregats des d’un origen amb continguts d’altres ubicacions. Un origen es diferencia pel seu esquema o protocol, el nom del domini i l’URL que s’utilitza per accedir a ell, i cada base de dades aquesta associada a un origen concret. D’aquesta manera, aquells documents i informació associats a altres orígens no haurien de tenir la possibilitat d’interactuar amb bases de dades alienes.

Tal com FingerprintJS ha comprovat en una simulació en Safari per a MacOS i els navegadors afectats en iOS i iPadOS 15, aquesta interactuació permet que els llocs webs codificats puguin extreure informació de Google, així com els historials i el contingut de les finestres del navegador. Cada vegada que un lloc web interactua amb una base dades concreta, aquesta es duplica amb el mateix nom a les altres pestanyes i pàgines actives dins de la mateixa sessió del navegador, encara que és buida de contingut. No obstant, la creació d’una altra base de dades amb idèntic nom és suficient perquè se'n pugui extreure dades com el nom d’usuari de Google.

Des de FingerprintJS indiquen que més de 30 dels mil llocs web més visitats, segons el rànquing d’Alexa, "interactuen amb bases de dades inexadas directament a la seua pàgina d’inici, sense cap interacció addicional de l’usuari ni necessitat d’autenticació," encara que se sospita que hi pot haver més pàgines capaces de filtrar dades confidencials.

De moment, sembla existir dos solucions possibles per frenar la fltració d’informació: utilitzar un bloquejador d’anuncis (per exemple, l’extensió AdBlock) o optar pel bloqueig de JavaScript. Des de FingerprintJS també recomanen canviar el navegador predeterminat en MacOS a un altre de diferent de Safari.

tracking