Un hacker ha descubierto un agujero grave de seguridad en Safari, el navegador nativo de Apple, por el cual se puede colar parte de la información privada de tu cuenta de Google, incluido el historial de navegación reciente.
Dicho usuario ya ha alertado a la compañía, así que esperamos que en breve una próxima actualización del navegador resuelva el problema de seguridad detectado. Estaremos pendientes de ello.
Un hacker llamado FingerprintJS ha publicado en su blog un descubrimiento un tanto inquietante. Un agujero de seguridad en el navegador de Apple Safari, por el cual se puede «colar» hacia el exterior de un Mac información importante de su usuario.
Dicho fallo consiste en un error en la implementación de IndexedDB de Safari en Mac e iOS. Eso significa que un sitio web puede ver los nombres de las bases de datos de cualquier dominio, no solo el suyo propio. Los nombres de la base de datos se pueden utilizar para extraer información de identificación de una tabla de búsqueda. Aquí puedes ver cómo funciona dicho error de seguridad.
Los servicios de Google almacenan una instancia de IndexedDB para cada una de sus cuentas, con el nombre de la base de datos correspondiente a su ID de usuario de Google. Así que usando el exploit descrito en la publicación del blog, una web maliciosa podría obtener tu ID de usuario de Google y luego usar ese ID para averiguar otra información personal, ya que el ID se utiliza para realizar solicitudes de API a los servicios de Google.
Manda narices que con otros navegadores, como por ejemplo Chrome, esto no ocurre, y una web solo puede ver las bases de datos creadas para el usuario de Google de su propio dominio, y no el de cualquier otro. Esperemos que Apple lo solucione pronto.
Apple aún no lo ha solucionado
FingerprintJS dice que ya ha informado a Apple de dicho fallo de seguridad el pasado 28 de noviembre. Es extraño que a día de hoy aún no lo haya solucionado con una nueva actualización de Safari. Pero estamos seguros de que en breve lo hará.
Sé el primero en comentar