Tecnologia

La actualización de iOS 15.3 de Apple corrige la vulnerabilidad crítica de Safari

Apple acaba de lanzar iOS 15.3 y, aunque esta última actualización no agrega ninguna característica nueva importante, al menos corrige una falla de seguridad grave. A principios de este mes, Martin Bajanik, desarrollador de software en FingerprintJS Se ha descubierto una vulnerabilidad crítica En Safari 15, el navegador incluido con iOS 15 y iPadOS 15, podría mostrar información del historial de navegación e incluso credenciales de inicio de sesión para los servicios en línea que usa un usuario (como Google, YouTube, Amazon y sitios web que usan WordPress).

Como explica Bajanik, muchos sitios web utilizan un índice de base de datos Solicita a navegadores como Safari y Chrome que almacenen información en una base de datos local en el dispositivo del usuario. En circunstancias normales, un sitio web determinado solo debería poder solicitar información sobre la base de datos que crea; nada más debería ser visible.

Jesse Horrington/Tendencias digitales

Desafortunadamente, el navegador Safari en iOS 15 no cumple completamente con estas reglas. Si bien no proporciona ninguna información almacenada en esas bases de datos, se complace en proporcionar una lista completa de todas las bases de datos locales a cualquier sitio web que la solicite.

Si bien esto puede parecer relativamente inofensivo en la superficie, el problema es que muchos servicios utilizan información confidencial con estos nombres de bases de datos. Por ejemplo, Google utiliza un identificador interno único y específico del usuario que puede «identificar de manera única y precisa» a cualquier persona que haya iniciado sesión en su cuenta de Google. Bajanaik señala que esta identificación de usuario de Google puede incluso ingresarse en las API de Google para extraer información pública sobre el titular de la cuenta, como su nombre y foto de perfil.

Peor aún, esto no solo permite que los sitios web maliciosos conozcan la identidad del usuario, sino que también se puede usar para obtener una lista de varias cuentas que pertenecen a la misma persona. Si alguien usa una cuenta anónima que no está asociada con una identidad personal, puede ser una grave invasión de la privacidad. Un hacker que aproveche esta vulnerabilidad podría establecer una conexión al descubrir que la misma persona almacena información para ambas cuentas en su navegador.

La vulnerabilidad también parece ser fácilmente explotable. Bajanaik explicó que «ejecutarse en segundo plano y sondear continuamente la API de IndexedDB para una pestaña o ventana de las bases de datos disponibles puede proporcionar información en tiempo real sobre otros sitios web que un usuario está visitando», lo que permite a los piratas informáticos recopilar datos de destino mediante la inyección de código malicioso en el objetivo. Sitio aparentemente legítimo.

Correcciones de seguridad en iOS 15.3

La actualización de iOS 15.3 de esta semana puede parecer aburrida en comparación con las funciones interesantes de las últimas versiones importantes de iOS, pero no debe tomarse a la ligera. De hecho, es aún más importante actualizar a iOS 15.3 lo antes posible.

iOS 15.3 no solo corrige este agujero de seguridad particularmente molesto en Safari, sino que también Notas de la versión de Appley otras nueve correcciones de seguridad críticas, incluida una que Apple dice que «puede haber sido explotada activamente».

Otras vulnerabilidades corregidas en iOS 15.3 incluyen una vulnerabilidad de iCloud que podría permitir que las aplicaciones eludan la seguridad y accedan a los archivos de los usuarios, y aplicaciones maliciosas que podrían obtener acceso de root o ejecutar código arbitrario para modificar cosas y hacer lo que no deberían hacer. Se permiten varios otros escenarios.

La elección del editor

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Botón volver arriba
You cannot copy content of this page