Descubren una vulnerabilidad en Safari que exponía datos de navegación de los usuarios

El fallo de seguridad de Safari se debía a la introducción, en octubre de 2017, de un nuevo diseño denominado Intelligent Tracking Prevention (ITP), que buscaba poner fin la recolección de datos de los usuarios por parte de las páginas web y su tráfico con terceros.

   Según explican los investigadores en un documento técnico, el diseño de Safari limitaba las 'cookies' y el acceso a otros datos que puedan hacer rastreables a los internautas. Para ello, guardaba una lista en el dispositivo de los sitios más visitados según el tráfico, y con ello detectaban cuándo un sitio de terceros accedía a información.

   El acceso a la lista ITP por parte de las páginas web visitadas les permitía que accedieran al historial de navegación de los usuarios de Safari, pudiendo comprobar qué páginas web visitaban de forma frecuente.

   Así, los investigadores de Google pusieron a prueba cinco tipos distintos de ataques que se aprovechaban de esta vulnerabilidad. Algunos permitían simplemente hacerse con el historial de navegación, mientras que otros permitían crear una huella digital del usuario que le seguía mientras visitaba otros sitios.

   Por su parte, la vulnerabilidad exponía también a los usuarios a otros usos maliciosos, engañando a Safari para que incluyera un sitio web en la lista ITP de sitios seguros, lo que puede abrir la puerta a sitios maliciosos, ataques de denegación de servicio o a filtrar contenidos de la bandeja de entrada del correo electrónico.

   Tras descubrir la vulnerabilidad de Safari, los investigadores de Project Zero informaron a Apple, que puso fin a los problemas en las actualizaciones 13.0.4 de su navegador y del sistema operativo móvil iOS 13.3, distribuidas en diciembre de 2019.