HoyEnTEC

Apple encontró un error en Safari que permite espiar la actividad de navegación reciente

A principios de semana, se descubrió un error en Safari que permitía a algunas páginas acceder a información de navegación recientemente. Un error en el que Apple ya está trabajando y del que ya ha propuesto una solución que deberíamos ver más pronto que tarde.

Un error que afecta aproximadamente al 3% de los dominios más visitados

La situación es la siguiente: debido a un error en la implementación de la API JavaScript la llamada a IndexedDB no respeta el requerimiento de «Same Origen». Esto, sin entrar en detalles más técnicos, significa que el acceso a la base de datos que utilizan algunos sitios web no se restringe a que cada sitio web pueda acceder a la información que ha guardado en ella, sino que otros sitios web pueden consultar la información guardada por terceros.

Debido a ello, tal como podemos ver en esta demo del concepto, un sitio web puede conocer información de la navegación reciente. ¿De qué sitios? De aquellos que usen IndexedDB para guardar información. Google, siendo el ejemplo más grave, almacena el User ID en esta base de datos, por lo que una web malintencionada podría recuperar esta ID de sus visitantes.

Según podemos ver en el proyecto de GitHub de WebKit, Apple ha creado ya un commit de la solución. Una solución que ha de llegar con una actualización de los diferentes sistemas operativos y con una nueva versión de Safari. Desconocemos la fecha exacta de su llegada, pero nos aventuramos a firmar que ha de ser pronto.

Conviene recordar que no todas las páginas web interactúan con la base de datos IndexedDB. De los 1000 dominios más visitados por Alexa, solo 30 lo hacen en la página principal. Esto es un 3%. Aun así, sin duda, este no es el funcionamiento normal de Safari, por lo que, por ahora, estaremos pendientes de una actualización.