Esta vulnerabilidad (sin parche) de Safari filtra información sensible de los usuarios
Investigadores revelaron un problema con la implementación de la API IndexedDB en el motor WebKit de Safari. Este error podría provocar la filtración de la actividad de navegación en tiempo real e incluso las identidades de los usuarios a cualquiera que aproveche la vulnerabilidad.
IndexedDB es una API de navegador ampliamente utilizada que es un sistema versátil de almacenamiento del lado del cliente sin límites de capacidad.
Por lo general, se implementa para almacenar en caché datos de aplicaciones web para verlos sin conexión. Esto ocurre mientras los módulos, las herramientas de desarrollo y las extensiones del navegador también pueden usarlo para almacenar información confidencial.
Para evitar fugas de datos por ataques de secuencias de comandos entre sitios, IndexedDB sigue la política del “mismo origen”. Es decir, controla qué recursos pueden acceder a cada dato.
Sin embargo, los investigadores de FingerprintJS descubrieron que la API de IndexedDB no sigue la política del mismo origen en la implementación de WebKit utilizada por Safari 15 en macOS. En otras palabras, permite la filtración de datos confidenciales.
Esta vulnerabilidad de infracción de la privacidad también afecta a los navegadores web que utilizan el mismo motor de navegador en las últimas versiones de iOS y iPadOS.