Una falla de Safari filtra su actividad reciente

Una falla en Safari 15 podría filtrar su actividad de navegación y también podría revelar cierta información personal adjunta a su cuenta de Google, según FingerprintJS, un servicio de detección de fraude de huellas dactilares y navegador.

La vulnerabilidad es causada por un problema con la implementación de Apple de IndexedDB, una interfaz de programación de aplicaciones (API) que almacena datos en su navegador.

En qué consiste el error de Safari y por qué se puede filtrar información personal

IndexedDB se adhiere a una política de origen, que evita que una fuente interactúe con los datos recopilados de otras fuentes; básicamente, solo el sitio web que genera los datos puede acceder a ellos. Por ejemplo, si abre su cuenta de correo electrónico en una pestaña y luego abre un sitio web malicioso en otra pestaña, la política de origen evitará que el sitio malicioso sea visto y comprometido con su correo electrónico.

La implementación de Apple de la API IndexedDB en Safari 15 en realidad no respeta la política de origen. Cuando una página web interactúa con la base de datos en Safari, “se crea una nueva base de datos (vacía) con el mismo nombre en todos los demás marcos, pestañas y ventanas activas dentro de la misma sesión del navegador”, tal cual explica FingerprintJS.

Esto significa que otros sitios web pueden ver los nombres de otras bases de datos creadas en otros sitios web, que pueden contener detalles específicos sobre su identidad.

Los sitios web que utilizan su cuenta de Google, como YouTube, Google Calendar y Google Keep, crean bases de datos en su nombre utilizando su ID de usuario único de Google.

Su identificación de usuario de Google le permite al gigante tecnológico acceder a su información disponible públicamente, como su foto de perfil, que los errores de Safari pueden mostrar en otros sitios web.

Así puede verificar qué páginas web pueden recuperar su información personal

FingerprintJS creó una demostración de prueba de concepto que puede probar si tiene Safari 15 y superior en tu Mac, iPhone o iPad.

La demostración utiliza la vulnerabilidad IndexedDB del navegador para identificar las páginas web que abrió (o abrió recientemente) y demuestra cómo los sitios que tienen el error pueden recuperar información de su ID de usuario de Google.

Actualmente, solo detecta 30 sitios web populares afectados por el error, como Instagram, Netflix, Twitter, Xbox, pero es probable que afecte a muchos más.

Lamentablemente no hay mucho que pueda hacer para evitar el problema, ya que el error también afecta la navegación privada en Safari. Puede usar un navegador diferente en macOS, pero la prohibición de Apple de herramientas de navegador de terceros en iOS significa que todos los navegadores se ven afectados.

Ajustes para proteger su privacidad en el navegador Safari

Desde la llegada de Safari 15, el navegador ahora cuenta con un sistema que permite saber qué rastreadores de publicidad hay en los sitios web que se estén visitando y además, ofrece un registro que abarca los rastreadores encontrados en los últimos 30 días junto a sus respectivos orígenes. Este detalle es importante para aquellos que prefieren no sentirse perseguidos por los anuncios, ya que los rastreadores vigilan las búsquedas para saber qué publicidad mostrar.

Para asegurarse de que su Safari tiene activo el bloqueo de rastreadores, es necesario abrir las Preferencias del programa y desde allí acceder a Privacidad. Luego, revisa que la opción de “Seguimiento entre sitios” esté marcada como activa o encenderla dado el caso que esté desactivada.

Si se hace clic en Gestionar datos del sitio web se puede ver qué sitios han dejado sus rastreadores y cookies colgando en su navegador.

Una vez reconocidos los rastreadores activos, basta con hacer clic en Eliminar junto a cualquiera de los rastreadores individuales de los que se está listo para deshacerse.

También, existe la opción de simplemente destruir toda la lista haciendo clic en “Eliminar todo” en la parte inferior de la pantalla, esto hará que desaparezcan los rastreadores como si se estuviera usando el navegador por primera vez.

En este mismo apartado es posible ver las cookies activas y eliminar aquellas que se puedan considerar innecesarias o no confiables. Cabe aclarar que hay cookies necesarias para que algunos sitios recuerden datos como contraseñas o preferencias previamente establecidas, pero aquellas que están hechas por terceros como anunciantes es recomendable eliminarlas por seguridad.