Un error significativo ha sido identificado en la implementación de WebKit de una API de JavaScript conocida como IndexedDB, lo que podría poner en riesgo la privacidad de los usuarios al permitir que los sitios web accedan a su historial de navegación reciente y, potencialmente, a su identidad. Según un análisis publicado en un blog de FingerprintJS, este error representa una vulnerabilidad seria que merece atención.
¿Qué es IndexedDB?
IndexedDB es una base de datos de almacenamiento del lado del cliente que permite a las aplicaciones web almacenar estructuras de datos más complejas. Este sistema está diseñado para funcionar de manera asincrónica y proporciona métodos de búsqueda rápida para acceder a los datos almacenados. Sin embargo, el fallo mencionado hace que sea posible que un sitio web no solo acceda a su propia base de datos, sino también a las bases de datos creadas por otros sitios durante la sesión de un usuario.
Consecuencias del Error
Este error se traduce en que un sitio web puede rastrear las interacciones anteriores del usuario con otros sitios simplemente accediendo a los nombres de las bases de datos en la sesión de navegación. Por lo general, cada sitio web debería solo tener acceso a su propia información, pero este problema permite un acceso no autorizado. Este acceso no solo rastrea el comportamiento del usuario, sino que, en algunos casos, puede incluir identificadores únicos, como la ID de usuario de Google utilizadas en nombre de las bases de datos.
Amplitud del Problema
El error se afecta a los navegadores que utilizan el motor de WebKit, incluyendo Safari en versiones 15 para Mac, iOS y iPadOS. Esto significa que incluso otros navegadores que operan sobre este motor, como Chrome en dispositivos iOS, son vulnerables. Afortunadamente, navegadores anteriores como Safari 14 no están afectados.
¿Qué Hacer?
No se requiere ninguna acción adicional por parte de los usuarios para que esta vulnerabilidad sea explotada. Por ejemplo, un sitio web que tenga una pestaña abierta en segundo plano puede consultar constantemente la API de IndexedDB para descubrir qué otros sitios han sido visitados durante la sesión del usuario. El modo de incógnito no proporciona protección contra este fallo en Safari. Por lo tanto, los usuarios deben evaluar con precaución la utilización de Safari 15 hasta que se ofrezca una solución.
Actuación de Apple
El problema fue informado a WebKit Bug Tracker el 28 de noviembre. Actualmente, se está esperando que Apple desarrolle una actualización que corrija esta vulnerabilidad. Mientras tanto, sugieren que los usuarios de Safari 15 consideren migrar temporalmente a otros navegadores en Mac, aunque esto no es una opción viable en dispositivos iPhone e iPad.
Reflexión Final
Este incidente destaca la importancia de la ciberseguridad y la privacidad en la web moderna. Navegadores como Safari desempeñan un papel crucial en la protección de la información de sus usuarios, y es vital que haya una respuesta pronta y efectiva a tales vulnerabilidades. La implicación de que los datos de los usuarios puedan ser accesibles inadvertidamente por terceros es preocupante y subraya la necesidad urgente de medidas de seguridad adecuadas.
La comunidad está a la espera de una respuesta de Apple para resolver esta problemática y asegurar la protección de la privacidad de los usuarios.
