febrero 8, 2023

Usuarios de Safari e iOS: su actividad de navegación se revela en tiempo real

Usuarios de Safari e iOS: su actividad de navegación se revela en tiempo real

imágenes falsas

Durante los últimos cuatro meses, los dispositivos iOS y iPadOS de Apple y el navegador Safari han violado una de las políticas de seguridad más sacrosantas de Internet. La infracción proviene de un error que filtra las identidades de los usuarios y la actividad de navegación en tiempo real.

La política del mismo origen es un mecanismo de seguridad crítico que evita que los documentos, scripts u otro contenido cargado desde una fuente, es decir, el protocolo, el nombre de dominio y el puerto de una página web o aplicación en particular, interactúen con recursos de otros orígenes. . Sin esta política, los sitios maliciosos, como badguy.example.com, podrían acceder a las credenciales de inicio de sesión de Google u otro sitio confiable cuando se abren en una ventana o pestaña diferente del navegador.

Obvia invasión de la privacidad

Desde el lanzamiento en septiembre de Safari 15 e iOS y iPadOS 15, esta política se ha violado en gran medida, según descubrió una investigación publicada a fines de la semana pasada. Como revela gráficamente un sitio de demostración, es trivial para un sitio conocer los dominios de los sitios abiertos en otras pestañas o ventanas, así como las ID de usuario y otra información de identificación asociada con otros sitios.

“El hecho de que los nombres de las bases de datos se filtren desde diferentes fuentes es una clara violación de la privacidad”, escribió Martin Bajanik, investigador de la firma de seguridad FingerprintJS. Él continuó:

Permite que sitios web arbitrarios aprendan qué sitios web visita el usuario en diferentes pestañas o ventanas. Esto es posible porque los nombres de las bases de datos suelen ser únicos y específicos del sitio web. Además, hemos observado que, en algunos casos, los sitios web utilizan identificadores únicos específicos del usuario en los nombres de las bases de datos. Esto significa que los usuarios autenticados pueden identificarse de manera única y precisa.

Los ataques funcionan en Mac con Safari 15 y en cualquier navegador con iOS o iPadOS 15. Como muestra la demostración, safarileaks.com puede detectar la presencia de más de 20 sitios web, incluidos Google Calendar, YouTube, Twitter y Bloomberg. abrir en otras pestañas o ventanas. Con más trabajo, un atacante en el mundo real probablemente podría encontrar cientos o miles de sitios o páginas web que pueden detectarse.

Cuando los usuarios se conectan a uno de estos sitios, es posible abusar de la vulnerabilidad para revelar la visita y, en muchos casos, identificar información en tiempo real. Cuando inicia sesión en una cuenta de Google abierta en otro lugar, por ejemplo, el sitio de demostración puede obtener el identificador interno utilizado por Google para identificar cada cuenta. Estos identificadores generalmente se pueden usar para reconocer al titular de la cuenta.

Conciencia creciente

La pérdida es el resultado de la forma en que el motor del navegador Webkit implementa IndexedDB, una interfaz de programación compatible con todos los principales navegadores. Contiene grandes cantidades de datos y funciona creando bases de datos cuando se visita un nuevo sitio. Las pestañas o ventanas que se ejecutan en segundo plano pueden consultar continuamente la API de IndexedDB para las bases de datos disponibles. Esto permite que un sitio sepa en tiempo real qué otros sitios web está visitando un usuario.

Los sitios web también pueden abrir cualquier sitio web en un iframe o ventana emergente para activar una fuga basada en IndexedDB para ese sitio específico. Al incrustar el iframe o la ventana emergente en su HTML, un sitio puede abrir otro sitio para provocar una fuga basada en IndexedDB para el sitio.

“Cada vez que un sitio web interactúa con una base de datos, se crea una nueva base de datos (vacía) con el mismo nombre en todos los demás marcos, pestañas y ventanas activos dentro de la misma sesión del navegador”, escribió Bajanik. “Normalmente, Windows y las pestañas comparten la misma sesión, a menos que cambie a un perfil diferente, como en Chrome, o abra una ventana privada”.

Cómo IndexedDB en Safari 15 pierde su actividad de navegación (en tiempo real).

Bajanik dijo que notificó a Apple sobre la vulnerabilidad a fines de noviembre y, en el momento de la publicación, aún no se había solucionado ni en Safari ni en los sistemas operativos móviles de la compañía. Los representantes de Apple no respondieron a un correo electrónico preguntando si lanzaría un parche o cuándo. A partir del lunes, los ingenieros de Apple fusionaron posibles soluciones y marcaron el informe de Bajanik como resuelto. Sin embargo, los usuarios finales no estarán protegidos hasta que se incorpore la corrección de Webkit en Safari 15 e iOS y iPadOS 15.

Por ahora, las personas deben tener cuidado al usar Safari para escritorio o cualquier navegador que se ejecute en iOS o iPadOS. Esto no es particularmente útil para los usuarios de iPhone o iPad y, en muchos casos, la divulgación de la actividad de navegación es escasa o nula. En otras situaciones, sin embargo, los sitios específicos visitados y el orden en que fueron visitados pueden decir mucho.

“La única protección real es actualizar el navegador o el sistema operativo una vez que Apple resuelve el problema”, escribió Bajanik. “Mientras tanto, esperamos que este artículo genere conciencia sobre este tema”.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *