Apple
    Visto: 402

    Safari 15 : descubre falla en su seguridad para filtrar su actividad de navegación e identidad personal

     

    La vulnerabilidad de Safari se informó a WebKit Bug Tracker en noviembre, aunque Apple aún no ha publicado su solución

    Se descubrió que Safari 15 tiene una vulnerabilidad que está filtrando su actividad de navegación e incluso permitiendo que los malos actores conozcan su identidad. El problema surgió debido a un error introducido en la implementación de IndexedDB, que funciona como una interfaz de programación de aplicaciones (API) para almacenar datos estructurados. Los usuarios de la última versión de macOS, así como de iOS y iPadOS, se ven afectados por la vulnerabilidad. Aunque los usuarios de macOS pueden superar el impacto cambiando a un navegador de terceros, los usuarios con iPhone o iPad no tienen ese remedio en este momento.

    Como informó inicialmente 9to5Mac, la empresa de detección de fraudes y huellas dactilares del navegador FingerprintJS descubrió la vulnerabilidad IndexedBD que afecta a Safari 15. La API sigue la política del mismo origen que está destinada a restringir los documentos y scripts cargados desde un origen para que interactúen con recursos de otros orígenes. . Esto ayuda a un navegador web a proteger su sesión en una pestaña desde el sitio web al que ha accedido en la otra pestaña.

    Sin embargo, los investigadores de FingerprintJS descubrieron que la implementación de IndexedDB por parte de Apple viola la política. Esto da como resultado la laguna que un atacante puede explotar para obtener acceso a su actividad de navegación o identidad adjunta a su cuenta de Google .

    “Cada vez que un sitio web interactúa con una base de datos, se crea una nueva base de datos (vacía) con el mismo nombre en todos los demás marcos, pestañas y ventanas activos dentro de la misma sesión del navegador”, dijeron los investigadores al explicar la vulnerabilidad.

    La falla permite a los piratas informáticos saber qué sitios web está visitando en diferentes pestañas o ventanas. También expone su ID de usuario de Google a sitios web distintos de aquellos en los que ha iniciado sesión con su cuenta de Google. El ID de usuario de Google permite que los sitios web accedan a sus identificadores personales, incluida su imagen de perfil. Eventualmente, los piratas informáticos podrían ver esos identificadores al explotar la vulnerabilidad de Safari .

    FingerprintJS afirma que la cantidad de sitios web que pueden interactuar y obtener acceso a la actividad de navegación de los usuarios y a los identificadores personales puede ser significativa. Para demostrar la falla, los investigadores también han hecho pública una prueba de concepto.

    Puede usar la demostración en su Mac , iPhone o iPad que tiene Safari 15 para ver la vulnerabilidad. Actualmente detecta sitios populares como Alibaba, Instagram, Twitter y Xbox para sugerir cómo la base de datos de un sitio puede filtrarse a otros. Sin embargo, el problema no se limita a estos y también puede afectar a los usuarios que visitan otros sitios.

    Los usuarios que cambian al modo privado en Safari 15 pueden reducir la cantidad de información disponible a través de la filtración, ya que las sesiones de navegación privada en el navegador están restringidas a una sola pestaña. Sin embargo, terminará filtrando sus datos si visita varios sitios web uno tras otro dentro de la misma pestaña.

    No obstante, los usuarios de Mac pueden cambiar a un navegador de terceros, como Google Chrome o Mozilla Firefox , para resolver la brecha de seguridad.

    Sin embargo, en iOS , el problema no se limita solo a Safari y no se puede solucionar moviéndose a Chrome u otro navegador de terceros. Se debe a que Apple no permite que los navegadores web de iOS utilicen un motor de navegador de terceros en iPhone y iPad.

    Los usuarios pueden limitar la fuga de datos deshabilitando JavaScript en su navegador por el momento. Pero eso afectará su experiencia ya que la mayoría de los sitios hoy en día usan JavaScript para proporcionar una navegación moderna.

    FingerprintJS informó el problema al WebKit Bug Tracker el 28 de noviembre. Sin embargo, la falla aún existe.

    Gadgets 360 se ha comunicado con Apple para obtener un comentario sobre la vulnerabilidad y si está trabajando en una solución. Este artículo se actualizará cuando la empresa responda.

    Las vulnerabilidades que afectan a Safari no son algo nuevo. El año pasado, Apple tuvo que relanzar su navegador para solucionar problemas de seguridad y errores que se introdujeron en una actualización anterior. La última compilación de Safari (versión 15.2) que se lanzó en diciembre también solucionó seis problemas de seguridad conocidos de WebKit que existían en las versiones anteriores y podrían permitir a los atacantes obtener acceso a los datos de los usuarios de manera malintencionada.

    Historias relacionadas:

    Apple :Está disponible el permiso a revisar Mensajes, Teléfono y Safari en la App Store

    1300 millones de dolares tiene el costo de ser buscador por defecto en safari

    Instagram : está permitiendo a los usuarios responder a los comentarios con carretes

    Apple : lanzó iOS 15.2 con informe de privacidad de aplicaciones, legado digital y más

    Apple y Google: El antimonopolio en Japón por SO móvil

     

    [Fuente]: digitalinformationworld.com


    Anónimo.( 18 de Enero de 2022).reloj despertador cielo azul eléctrico de la esfera - Safari Imágen de Png . [Fotografía]. Modificado por Carlos Zambrado Recuperado de freepng.es

    Recomendamos

    Formación Virtual

    Blog

    Últimos Artículos

    Más Leidos

    Categorias