El navegador de Apple tiene un fallo grave de seguridad por el que una web malintencionada puede hacerse con nuestros datos personales sin nuestro consentimiento.
El agujero, que afecta a las versiones 4 y 5 de Safari, pone en riesgo potencial la privacidad de millones de usuarios, aquellos que usen este software bajo macOS X.
El error está en el auto-rellenado de formularios
Para ser vulnerables, hay que tener activada la opción de rellenar los formularios automáticamente desde la tarjeta de contacto del usuario en la Agenda de macOS X, ya que es precisamente esta función la que tiene el agujero.
Concretamente, Safari busca completar con los campos de formularios que nos piden el nombre, empresa para la que trabajamos, la ciudad y país donde residimos y el correo electrónico. Hay que saber que este proceso no tiene nada que ver con que el navegador guarde para sí mismo lo que hemos ido escribiendo nosotros en formularios y lo muestre a modo de sugerencia. Aquí Safari busca los datos en un programa externo a él (la Agenda), y no es necesario haberlos introducido previamente en otra web. Curiosamente, los números de teléfono no pueden ser "robados".
Por lo tanto, cualquier página malintencionada, con un formulario invisible y un código JavaScript que simulara pulsaciones en las teclas y que luego enviara la información que se autorellenaría, podría tener acceso a los datos personales de un usuario sin que él lo sepa. Como muestra, Jeremiah Grossman, jefe de tecnología de la firma de seguridad WhiteHat Security, nos enlaza una dirección para probar la vulnerabilidad. Para ello, tendremos que usar Safari en macOS X. Si no disponemos de estos requisitos, o no nos fiamos de esa web, podemos ver un vídeo al final de la entrada en su blog.
También se comenta que Chrome podría sufrir el mismo problema, o uno muy parecido. De confirmarse, el fallo podría estar el WebKit, el motor en el que se basan ambos navegadores, y no sería exclusivo de Safari. De todos modos, lo hemos puesto a prueba en el enlace anterior y no ha revelado ningún dato personal. Por otro lado, parece que en cualquier caso esto no afecta a ordenadores con Windows.
Volviendo a la noticia original, ante esta situación Apple no ha contestado de forma contundente después de que Grossman les notificara el fallo el pasado 17 de junio. Tras esperar más de un mes, se ha decidido a compartir la información y poner en alerta a los usuarios.
Mientras la empresa con sede en Cupertino actúa con un parche, la solución pasa por deshabilitar la función de auto-relleno de formularios.