Un fallo en el navegador Safari para iOS y Mac permite acceder a información del usuario de cualquier página web que visita, y se ha demostrado que es posible obtener los datos de Google.
El bug ha sido revelado por FingerprintJS, un servicio especializado en 'fingerprinting', huellas digitales que pueden ser usadas para identificar a usuarios; estas alternativas a las famosas 'cookies' permiten almacenar más información mientras navegamos por Internet, capaz de identificarnos al ser única en toda la red. Es por eso que la mayoría de navegadores tiene medidas para evitar que esos datos sean visibles para cualquiera.
Uno de estos navegadores, Safari de Apple, tiene un fallo en la implementación de IndexedDB, usado para crear bases de datos en el navegador. Normalmente, cuando visitamos una página web, esta sólo es capaz de ver los datos que ha almacenado, y no puede, por ejemplo, ver las bases de datos de otras páginas que hayamos visitado; esa es una medida básica de protección que la implementación de Apple no sigue.
Cada vez que una página web crea una nueva base de datos, Safari le adjudica el mismo nombre que el resto que se hayan creado en la misma sesión del navegador. Así que todas las páginas web que hayamos abierto son capaces de leer los datos del resto; si estamos en Google, y abrimos una nueva pestaña a un sitio fradulento, ese sitio es capaz de leer la información de nuestra sesión de Google, por ejemplo.
El ejemplo de Google es apropiado, porque los investigadores han descubierto que todos los sitios que pertenecen al gigante de Internet crean bases de datos con nuestro número de identificación único; sólo con ese número, ya es posible acceder a datos que hayamos hecho públicos, como nuestro nombre o foto de perfil.
Lo peor de todo es que los usuarios no pueden hacer nada para evitar este ataque si tienen un iPhone. En macOS, es posible usar otro navegador diferente hasta que Apple solucione el bug, pero en iOS, Apple los prohíbe de manera expresa en su App Store. Aunque existen alternativas, incluyendo las más populares como Chrome, Edge y Firefox, estas apps en realidad usan el mismo código que Safari, obligadas por Apple si quieren entrar en la App Store (la única manera de instalar apps en el iPhone).
Durante años, desarrolladores han criticado a Apple por no permitir competencia real en los navegadores web de sus móviles, y una de las alegaciones es que un 'bug' en Safari afectaría a todos los usuarios sin importar el navegador que usasen; y eso es justo lo que acaba de ocurrir.
Más preocupante aún es que Apple conoce este bug, al menos desde el 28 de noviembre, pero aún no ha hecho nada para arreglarlo; muchos investigadores han criticado a Apple por no dar importancia a los bugs que descubren, y el pasado mes de septiembre tres fallos del iPhone se hicieron públicos después de que Apple no reconociese su existencia. De la misma manera, desde FingerprintJS afirman que Apple no ha respondido a sus avisos, y la compañía aún no ha realizado ninguna declaración pública, por lo que no se sabe cuándo se solucionará, ni qué pasos pueden dar los usuarios para protegerse.
