“IndexedDB Leaks” la nueva vulnerabilidad en Safari

Se ha publicado una nueva vulnerabilidad en IndexesDB que afecta al navegador Safari que ha sido denominada como “IndexedDB Leaks”.

IndexedDB es una interfaz de programación de aplicaciones proporcionada por navegadores web para administrar una base de datos NoSQL de objetos de datos estructurados.

“FingerprintJS”, compañía desarrolladora, reveló y reportó la vulnerabilidad “IndexedDB Leaks” a Apple el 28 de Noviembre.

Asimismo, Apple introdujo “IndexedDB Leaks” en la versión 15 del navegador debido a que no respeta el mecanismo de seguridad de mismo origen.

El mecanismo de mismo origen (o Same Origin) es un mecanismo que consiste en no permitir el acceso a datos de una pestaña (con un origen) desde otra pestaña con otro origen. Para esto se toma como origen al conjunto de esquema o protocolo, dominio, puerto y recurso.

Atendiendo a esto, el origen “http://midominio.com/mirecurso.html” es distinto al dominio “https://midominio.com/mirecurso.html” por contener distinto protocolo.

Junto a la publicación de la noticia, se publicó un vídeo con una demostración de cómo una URL de ejemplo aprovecha “IndexedDB Leaks”.

En el vídeo anterior, se puede apreciar cómo se aprovecha la vulnerabilidad “IndexedDB Leaks», no solo para obtener datos de la víctima, sino que, además, se pueden obtener datos para saber quién es la víctima. Vulnerabilidad que a nivel de confidencialidad puede ser peligrosa.

Actualmente “IndexedDB Leaks” no tiene parche oficial disponible, pero sí la recomendación de utilizar un navegador distinto a Safari. Contramedida que el desarrollador de Google, Jake Archibald, criticó en un tweet, ya que es una contramedida que solo es posible en OSX y no en iOS.

This is a huge bug. On OSX, Safari users can (temporarily) switch to another browser to avoid their data leaking across origins. iOS users have no such choice, because Apple imposes a ban on other browser engines. https://t.co/aXdhDVIjTT

— Jake Archibald (@jaffathecake) January 16, 2022

Más información:

New Unpatched Apple Safari Browser Bug Allows Cross-Site User Tracking
https://thehackernews.com/2022/01/new-unpatched-apple-safari-browser-bug.html

La entrada “IndexedDB Leaks” la nueva vulnerabilidad en Safari se publicó primero en Una al Día.