Un grave fallo de seguridad en Safari 15 ha sido descubierto. Fingerprint JS, un servicio de detección de fraude y toma de huellas dactilares del navegador, revela que ha descubierto un error en la implementación de la API IndexedDB que permite a cualquier sitio web rastrear la actividad de navegación de los usuarios e incluso su identidad.

El servicio explica que la API IndexedDB funciona bajo la política del mismo origen, la cual restringe la interacción de un origen con datos recopilados en otro orígenes. Es decir, solo el sitio web que genera datos puede acceder a esa información, y así se crea una defensa cuando, por ejemplo, se abre una página web maliciosa, la política del mismo origen evita que esta interactúe con el contenido de otras páginas abiertas en el mismo navegador.

El error se origina en una incorrecta aplicación de la API que viola esta política. Cuando un sitio web interactúa con una base de datos de Safari, Fingerprint JS explica que "una nueva (y vacía) base de datos con el mismo nombre es creada en todas las otras ventanas y pestañas activas en la misma sesión de navegación", esto permite que otros sitios web puedan ver los nombres de otras bases de datos y acceder a su información.

El problema se agrava con los sitios web que usan una cuenta de Google. Fingerprint JS nota que servicios como YouTube, Keep, Calendar y todos los servicios de Google generan …