Usuarios de Safari e iOS: Tu actividad de navegación se está filtrando en tiempo real
Durante los últimos cuatro meses, los dispositivos iOS y iPadOS de Apple y el navegador Safari han violado una de las políticas de seguridad más sacrosantas de Internet. La violación se debe a un fallo que filtra las identidades de los usuarios y la actividad de navegación en tiempo real.
La política del mismo origen es un mecanismo de seguridad fundamental que prohíbe que los documentos, scripts u otros contenidos cargados desde un origen -es decir, el protocolo, el nombre de dominio y el puerto de una determinada página web o aplicación- interactúen con recursos de otros orígenes. Sin esta política, los sitios maliciosos -por dar un ejemplo, badguy.example.com- podrían acceder a las credenciales de inicio de sesión de Google o de otro sitio de confianza cuando esté abierto en una ventana o pestaña diferente del navegador.
Obvia violación de la privacidad
Desde el lanzamiento en septiembre de Safari 15 y de iOS y iPadOS 15, esta política se ha roto de par en par, según una investigación publicada a finales de la semana pasada. Como revela gráficamente un sitio de demostración, es trivial para un sitio conocer los dominios de los sitios abiertos en otras pestañas o ventanas, así como las identificaciones de los usuarios y otros datos de identificación asociados a los otros sitios.
“El hecho de que los nombres de las bases de datos se filtren a través de diferentes orígenes es una evidente violación de la privacidad”, escribió Martin Bajanik, ingeniero de software de FingerprintJS, una startup que fabrica una interfaz de identificación de dispositivos con fines antifraude. Continuó:
Permite que sitios web arbitrarios sepan qué sitios web visita el usuario en diferentes pestañas o ventanas. Esto es posible porque los nombres de las bases de datos suelen ser únicos y específicos del sitio web. Además, hemos observado que, en determinados casos, los sitios web utilizan identificadores únicos específicos del usuario en los nombres de las bases de datos. Esto significa que los usuarios autentificados pueden ser identificados de forma única y precisa.
Los ataques funcionan en Macs con Safari 15 y en cualquier navegador que funcione en iOS o iPadOS 15. Como muestra la demostración, safarileaks.com es capaz de detectar la presencia de más de 20 sitios web -Google Calendar, YouTube, Twitter y Bloomberg entre ellos- abiertos en otras pestañas o ventanas. Con más trabajo, un atacante del mundo real probablemente podría encontrar cientos o miles de sitios o páginas web que puedan ser detectados.
Cuando los usuarios están conectados a uno de estos sitios, se puede abusar de la vulnerabilidad para revelar la visita y, en muchos casos, la información de identificación en tiempo real. Por ejemplo, cuando se accede a una cuenta de Google abierta en otro sitio, el sitio de demostración puede obtener el identificador interno que Google utiliza para identificar cada cuenta. Estos identificadores pueden utilizarse normalmente para reconocer al titular de la cuenta.
Concienciación
La filtración es el resultado de la forma en que el motor del navegador Webkit implementa IndexedDB, una interfaz de programación soportada por los principales navegadores. Esta interfaz contiene grandes cantidades de datos y funciona creando bases de datos cuando se visita un nuevo sitio. Las pestañas o ventanas que se ejecutan en segundo plano pueden consultar continuamente la API de IndexedDB en busca de bases de datos disponibles. Esto permite que un sitio aprenda en tiempo real qué otros sitios web está visitando un usuario.
Los sitios web también pueden abrir cualquier sitio web en un iframe o ventana emergente para activar una filtración basada en IndexedDB para ese sitio específico. Al incrustar el iframe o la ventana emergente en su código HTML, un sitio puede abrir otro sitio con el fin de provocar una fuga basada en IndexedDB para el sitio.
“Cada vez que un sitio web interactúa con una base de datos, se crea una nueva base de datos (vacía) con el mismo nombre en todos los demás marcos, pestañas y ventanas activos dentro de la misma sesión del navegador”, escribió Bajanik. “Las ventanas y pestañas suelen compartir la misma sesión, a menos que se cambie a un perfil diferente, en Chrome por dar un ejemplo, o se abra una ventana privada”.
Bajanik aseguró que notificó a Apple de la vulnerabilidad a finales de noviembre, y al momento de la publicación, todavía no había sido corregida ni en Safari ni en los sistemas operativos móviles de la compañía. Los representantes de Apple no respondieron a un correo electrónico en el que se les preguntaba si lanzarían un parche o cuándo lo harían. Hasta el lunes, los ingenieros de Apple habían fusionado las posibles correcciones y marcado el informe de Bajanik como resuelto. Los usuarios finales, sin embargo, no estarán protegidos hasta que la corrección de Webkit se incorpore a Safari 15 y a iOS y iPadOS 15.
Hasta el momento, la gente debe tener cuidado al usar Safari para escritorio o cualquier navegador que se ejecute en iOS o iPadOS. Esto no es especialmente útil para los usuarios de iPhone o iPad, y en muchos casos, hay poca o ninguna consecuencia de que se filtren las actividades de navegación. En otras situaciones, sin embargo, los sitios específicos visitados y el orden en que se accedió a ellos pueden decir mucho.
“La única protección real es actualizar el navegador o el sistema operativo una vez que el problema sea resuelto por Apple”, escribió Bajanik. “Mientras tanto, esperamos que este artículo sirva para concienciar sobre este problema”.
[content-egg module=Youtube template=custom/simple]Lo más visto del mes en: Tecnología
Michael Rojas
Me convertí en un entusiasta de la tecnología a finales de 2012, y desde entonces, he estado trabajando para publicaciones de renombre en toda América y España como freelance para cubrir productos de empresas como Apple, Samsung, LG entre otras. ¡Gracias por leerme! Si deseas saber más sobre mis servicios, envíame tu consulta a [email protected].