Ein Fehler in Safari 15 kann Ihre Browseraktivitäten durchsickern lassen und auch einige der mit Ihrem Google-Konto verknüpften persönlichen Informationen preisgeben, laut Erkenntnissen von FingerprintJS, einem Browser-Fingerabdruck- und Betrugserkennungsdienst (über 9to5Mac ). Die Schwachstelle ergibt sich aus einem Problem mit Apples Implementierung von IndexedDB, einer Anwendungsprogrammierschnittstelle (API), die Daten in Ihrem Browser speichert.
Wie von FingerprintJS erklärt, hält sich IndexedDB an die Same-Origin-Policy, die einen Ursprung daran hindert, mit Daten zu interagieren, die auf anderen Ursprüngen gesammelt wurden – im Wesentlichen kann nur die Website, die Daten generiert, darauf zugreifen. Wenn Sie beispielsweise Ihr E-Mail-Konto auf einem Tab öffnen und dann eine bösartige Webseite auf einem anderen öffnen, verhindert die Same-Origin-Richtlinie, dass die bösartige Seite Ihre E-Mails anzeigt und sich in sie einmischt.
Sie können nicht viel dagegen tun rund um das Thema
FingerprintJS stellte fest, dass Apples Anwendung der IndexedDB-API in Safari 15 tatsächlich gegen die Same-Origin-Richtlinie verstößt. Wenn eine Website mit einer Datenbank in Safari interagiert, sagt FingerprintJS, dass „eine neue (leere) Datenbank mit demselben Namen in allen anderen aktiven Frames, Registerkarten und Fenstern innerhalb derselben Browsersitzung erstellt wird“.
Dies bedeutet, dass andere Websites den Namen anderer Datenbanken sehen können, die auf anderen Websites erstellt wurden und Details zu Ihrer Identität enthalten können. FingerprintJS stellt fest, dass Websites, die Ihr Google-Konto verwenden, wie YouTube, Google Kalender und Google Keep, alle Datenbanken mit Ihrer eindeutigen Google-Benutzer-ID im Namen generieren. Ihre Google-Benutzer-ID ermöglicht Google den Zugriff auf Ihre öffentlich zugänglichen Informationen, z. B. Ihr Profilbild, das durch den Safari-Fehler auf anderen Websites angezeigt werden kann.
Das ist ein riesiger Fehler. Unter OSX können Safari-Benutzer (vorübergehend) zu einem anderen Browser wechseln, um zu vermeiden, dass ihre Daten über die Ursprünge hinweg durchsickern. iOS-Nutzer haben keine solche Wahl, da Apple andere Browser-Engines verbietet. https://t.co/aXdhDVIjTT
– Jake Archibald (@jaffathecake) 16. Januar 2022
FingerprintJS hat eine Proof-of-Concept-Demo erstellt, die Sie ausprobieren können, wenn Sie Safari 15 und höher auf Ihrem Mac, iPhone oder höher haben iPad. Die Demo verwendet die IndexedDB-Schwachstelle des Browsers, um die von Ihnen geöffneten (oder kürzlich geöffneten) Websites zu identifizieren, und zeigt, wie der Fehler Informationen aus Ihrer Google-Benutzer-ID kratzt. Es erkennt derzeit nur 30 beliebte Websites, die von dem Fehler betroffen sind, darunter Instagram, Netflix, Twitter, Xbox, aber es betrifft wahrscheinlich weit mehr.
Leider gibt es nicht viel Sie tun können, um das Problem zu umgehen, da FingerprintJS sagt, dass der Fehler auch den Private-Browsing-Modus in Safari betrifft. Sie können unter macOS einen anderen Browser verwenden, aber Apples Verbot der Browser-Engine von Drittanbietern für iOS bedeutet, dass alle Browser betroffen sind. FingerprintJS hat das Leck am 28. November an den WebKit Bug Tracker gemeldet, aber es gab noch kein Update für Safari. The Verge hat sich mit der Bitte um einen Kommentar an Apple gewandt, aber nicht sofort eine Antwort erhalten.