El fallo, que se encuentra en el motor del navegador WebKit de Apple, afecta a Safari 15 en macOS y a todos los navegadores en iOS e iPadOS 15. Un fallo de Safari permite a los sitios web rastrear la actividad de navegación y los identificadores únicos.
Los investigadores han encontrado un error en el navegador Safari de Apple que permite que los sitios web rastreen las actividades de navegación de un usuario en otros sitios. El error, descubierto por el servicio de huellas digitales del navegador FingerprintJS, también expone la identificación única de un usuario para algunos sitios web que visitan.
El error, que como hemos dicho, se encuentra en el motor del navegador WebKit de Apple, afecta a Safari 15 en macOS y a todos los navegadores de iOS 15. Se encuentra en la implementación de WebKit de la API de base de datos indexada. Comúnmente se le llama IndexedDB. Se trata de una API de JavaScript que los navegadores usan para acceder a una base de datos de objetos. Con frecuencia, almacena datos generados al interactuar con una aplicación web. Esto incluye la ID única de un usuario para interactuar con aplicaciones web, como el ID de Google.
Un fallo de Safari permite a los sitios web rastrear la actividad de navegación y los identificadores únicos
Cuando se implementa correctamente, IndexedDB sigue el principio del mismo origen. Esto garantiza que la información almacenada en una página web sólo esté disponible para las páginas web del mismo dominio. Evita que las páginas web demasiado curiosas accedan a la información almacenada de otros dominios. Esto podría incluir datos confidenciales de usuarios o de sesiones.
FingerprintJS descubrió que la implementación de IndexedDB de WebKit no cumple con el mismo principio de origen. Lo que hace es que la información almacenada esté disponible para sitios web de otros dominios.
FingerprintJS calificó el error como un error de privacidad. «Permite que los sitios web aprendan qué sitios web visita el usuario en diferentes pestañas o ventanas». Esto lo dijo la compañía en su análisis del error. «Esto es posible porque los nombres de las bases de datos suelen ser únicos y específicos del sitio web».
La compañía encontró algunos sitios web que utilizan datos de IndexedDB específicos del usuario, como números de identificación en los nombres de sus bases de datos. Esto facilita que cualquier otro sitio web encuentre la identificación de un usuario en otros sitios. El uso de esta identificación para buscar los activos del usuario, podría permitir la identificación del mismo, advirtió la compañía. Los sitios web de Google almacenan números de ID de esta forma. Esto hace posible que otros sitios web recopilen ID de Google utilizados por error.