iPhone-iPad-y-Mac-users-personal-data.jpg?1642371330″> 
Empresa de seguridad FingerprintJS (a través de 9to5Mac) publicó un informe el viernes sobre un error encontrado en la versión iOS 15 del navegador móvil Safari. El informe establece que este error”permite que cualquier sitio web rastree su actividad en Internet e incluso revele su identidad”. Un error encontrado en una interfaz de programación de aplicaciones (API) utilizada y admitida por la mayoría de los navegadores podría ser utilizada por atacantes para averiguar muchas cosas sobre usted. Los programadores utilizan una API para conectar partes del software a otro software, lo que facilita su desarrollo. programas Una de esas API, llamada IndexedDB, es compatible con la mayoría de los principales navegadores y contiene lo que el informe llama”una cantidad significativa de datos”.
Safari en iOS 15 y iPadOS 15 tiene un error que puede aprovecharse para revelar sus datos personales
El error en iOS 15, iPadOS 15 y macOS permite que sitios web aleatorios sepan qué otros sitios está visitando un usuario en otras ventanas y pestañas. Eso es posible porque sitios como YouTube, Google Calendar y Google Keep usan”identificadores únicos específicos del usuario”en los nombres de sus bases de datos. Como resultado, los usuarios autenticados pueden identificarse ya que los sitios antes mencionados crean bases de datos que incluyen el ID de usuario de Google que pertenece al usuario, y se abren bases de datos para todas las cuentas que se utilizan.
El ID de usuario de Google conduce a un atacante a una gran cantidad de datos personales. Cada uno se puede usar para identificar una cuenta de Google específica y, en combinación con las API de Google, puede, al menos, revelar su foto de perfil a un hacker. También podría ayudar al atacante a obtener mucha más información personal y desentrañar”múltiples cuentas separadas”propiedad del mismo usuario.
Desafortunadamente, conocer su información personal no requiere que realice ninguna acción específica como el informe. dice”Una pestaña o ventana que se ejecuta en segundo plano y consulta continuamente la API de IndexedDB para las bases de datos disponibles, puede saber qué otros sitios web visita un usuario en tiempo real. Alternativamente, los sitios web pueden abrir cualquier sitio web en un iframe o ventana emergente para desencadenar una fuga basada en IndexedDB para ese sitio específico”.
FingerprintJS verificó los 1000 sitios más visitados de Alexa y encontró que 30 interactúan con bases de datos indexadas directamente en su página de inicio, sin ninguna interacción o autenticación requerida por parte del usuario. Incluso si una persona está usando el modo privado en Safari, si visita varios sitios web usando la misma pestaña, todas las bases de datos con las que interactúa se filtran a los sitios que el usuario visita posteriormente.
¿Hay alguna manera? para evitar este error?
No hay mucho que un usuario de Safari pueda hacer si está ejecutando iOS 15 o iPadOS 15. Una sugerencia es bloquear todo JavaScript de forma predeterminada y solo permítalo en sitios que sean 100% confiables. Los usuarios de Mac pueden cambiar de navegador para escapar de este error, pero esta no es una solución en iOS 15 o iPadOS 15. Debemos señalar que FingerprintJS envió el error a WebKit Bug Tracker el 28 de noviembre de 2021, como error 233548.
Si desea verificar esto en su iPhone o iPad, abra Safari y diríjalo a safarileaks.com y siga las instrucciones simples. Rápidamente (demasiado rápido), aparece el nombre del último sitio que visitó (si fue uno de los sitios enumerados en la página de demostración) y se puede acceder a su identificación de usuario única de Google. Francamente, la única solución que tiene es esperar. para que Apple actualice el software iOS y iPadOS y asegúrese de instalarlo tan pronto como se lance. Nuevamente, si está utilizando una Mac, cambiar de navegador es una opción válida, aunque ese no es el caso con iOS y iPadOS. Y tenga en cuenta que los usuarios no necesitan realizar ninguna acción específica para desencadenar el error.
