imágenes falsas
Durante los últimos cuatro meses, los dispositivos iOS y iPadOS de Apple y el navegador Safari han violado una de las políticas de seguridad más sacrosantas de Internet. La violación resulta de un error que filtra las identidades de los usuarios y la actividad de navegación en tiempo real.
El política del mismo origen es un mecanismo de seguridad fundamental que prohíbe que los documentos, scripts u otro contenido cargado desde un origen, es decir, el protocolo, el nombre de dominio y el puerto de una página web o aplicación determinada, interactúen con recursos de otros orígenes. Sin esta política, los sitios maliciosos, por ejemplo, badguy.example.com, podrían acceder a las credenciales de inicio de sesión de Google u otro sitio de confianza cuando está abierto en una ventana o pestaña diferente del navegador.
Violación obvia de la privacidad
Desde el lanzamiento de Safari 15 e iOS y iPadOS 15 en septiembre, esta política se ha abierto de par en par. investigación publicada a fines de la semana pasada fundar. Como un sitio de demostración revela gráficamente, es trivial que un sitio aprenda los dominios de los sitios abiertos en otras pestañas o ventanas, así como las identificaciones de usuario y otra información de identificación asociada con los otros sitios.
“El hecho de que los nombres de las bases de datos se filtren a través de diferentes orígenes es una violación obvia de la privacidad”, escribió Martin Bajanik, ingeniero de software de FingerprintJS, una empresa emergente que crea una interfaz de identificación de dispositivos con fines antifraude. Él continuó:
Permite que los sitios web arbitrarios aprendan qué sitios web visita el usuario en diferent es pestañas o ventanas. Esto es posible porque los nombres de las bases de datos suelen ser únicos y específicos del sitio web. Además, observamos que, en algunos casos, los sitios web usan identificadores únicos específicos del usuario en los nombres de las bases de datos. Esto significa que los usuarios autenticados pueden identificarse de manera única y precisa.
Los ataques funcionan en Mac con Safari 15 y en cualquier navegador con iOS o iPadOS 15. Como muestra la demostración, safarileaks.com puede detectar la presencia de más de 20 sitios web, entre ellos Google Calendar, YouTube, Twitter y Bloomberg. abrir en otras pestañas o ventanas. Con más trabajo, un atacante del mundo real probablemente podría encontrar cientos o miles de sitios o páginas web que pueden detectarse.
Cuando los usuarios inician sesión en uno de estos sitios, se puede abusar de la vulnerabilidad para revelar la visita y, en muchos casos, identificar información en tiempo real. Cuando se inicia sesión en una cuenta de Google abierta en otro lugar, por ejemplo, el sitio de demostración puede obtener el identificador interno que utiliza Google para identificar cada cuenta. Esos identificadores generalmente se pueden usar para reconocer al titular de la cuenta.
Sensibilización
La filtración es el resultado de la forma en que el motor del navegador Webkit implementa IndexedDB, una interfaz de programación compatible con todos los principales navegadores. Contiene grandes cantidades de datos y funciona creando bases de datos cuando se visita un nuevo sitio. Las pestañas o ventanas que se ejecutan en segundo plano pueden consultar continuamente la API de IndexedDB para las bases de datos disponibles. Esto permite que un sitio sepa en tiempo real qué otros sitios web está visitando un usuario.
Los sitios web también pueden abrir cualquier sitio web en un iframe o ventana emergente para desencadenar una fuga basada en IndexedDB para ese sitio específico. Al incrustar el iframe o la ventana emergente en su código HTML, un sitio puede abrir otro sitio para provocar una fuga basada en IndexedDB para el sitio.
“Cada vez que un sitio web interactúa con una base de datos, se crea una nueva base de datos (vacía) con el mismo nombre en todos los demás marcos, pestañas y ventanas activos dentro de la misma sesión del navegador”, escribió Bajanik. “Las ventanas y las pestañas suelen compartir la misma sesión, a menos que cambie a un perfil diferente, en Chrome, por ejemplo, o abra una ventana privada”.
Cómo IndexedDB en Safari 15 filtra su actividad de navegación (en tiempo real).
Bajanik dijo que notificó a Apple sobre la vulnerabilidad a fines de noviembre y, al momento de la publicación, aún no se había solucionado ni en Safari ni en los sistemas operativos móviles de la compañía. Los representantes de Apple no respondieron a un correo electrónico preguntando si lanzaría un parche o cuándo. A partir del lunes, los ingenieros de Apple combinaron soluciones potenciales y marcaron informe de Bajanik como resuelto. Sin embargo, los usuarios finales no estarán protegidos hasta que la corrección de Webkit se incorpore a Safari 15, iOS y iPadOS 15.
Por ahora, las personas deben tener cuidado al usar Safari para escritorio o cualquier navegador que se ejecute en iOS o iPadOS. Esto no es especialmente útil para los usuarios de iPhone o iPad, y en muchos casos, hay poca o ninguna consecuencia de la filtración de las actividades de navegación. En otras situaciones, sin embargo, los sitios específicos visitados y el orden en que se accedió pueden decir mucho.
“La única protección real es actualizar su navegador o sistema operativo una vez que Apple resuelva el problema”, escribió Bajanik. “Mientras tanto, esperamos que este artículo genere conciencia sobre este problema”.