Ashwin 18.01.2022 Browser | 0
Vor einer Woche haben wir über Powerdir gesprochen, eine Schwachstelle in macOS, die von Hackern genutzt werden könnte, um auf die Daten des Benutzers zuzugreifen. Das Problem, das von Microsoft-Ingenieuren entdeckt wurde, wurde von Apple in einem Patch behoben, der letztes Jahr ausgeliefert wurde. Heute sind Neuigkeiten über einen Safari-Fehler aufgetaucht, der Ihren Browserverlauf und Informationen zu Ihrem Google-Konto preisgeben kann.
Safari-Bug kann Ihren Browserverlauf preisgeben
Apples Browser, der Standard auf macOS, iOS und iPadOS ist, hat ein Sicherheitsproblem im Zusammenhang mit IndexedDB. Hierbei handelt es sich um eine API, die von Websites zum Speichern von Daten auf dem Gerät verwendet wird und die Richtlinie zum gleichen Ursprung verwendet. Es hindert andere Websites, Dokumente und Skripte daran, auf Daten zuzugreifen, die zu einer bestimmten Website gehören. Es ist so etwas wie eine Sandbox für die von einer Website erstellten Daten.
IndexedDB oder indizierte Datenbanken sind an einen bestimmten Ursprung gebunden, z. Ihr Google-Konto ist mit einer eigenen Datenbank verknüpft. Theoretisch sollten andere Websites also nicht in der Lage sein, auf die in der Datenbank gespeicherten Informationen zuzugreifen, aber FingerprintJS hat entdeckt, dass es in Safari 15 einen Exploit gibt, der die Daten an andere Websites weitergeben kann.
WERBUNG
Wie ist das möglich? Wenn eine Website auf eine Datenbank zugreift, werden die restlichen Daten von anderen Registerkarten, Fenstern und Frames in der aktuellen Sitzung in einer neuen Datenbank gespeichert. Das Problem dabei ist, dass die neu erstellte Datenbank den gleichen Namen wie die ursprüngliche hat, wodurch die Datenbanknamen über verschiedene Ursprünge (Websites) weitergegeben werden.
Dies wiederum ermöglicht es Websites, Benutzer anhand ihrer eindeutigen ID zu identifizieren. Schlimmer noch ist, dass die Websites die authentifizierte Google-Benutzer-ID in diesen Datenbanken speichern. Falls sich jemand bei mehreren Konten angemeldet hat, hat jedes seine eigene Datenbank. Die Benutzer-ID wird von Google verwendet, um den Benutzer über die Personen-API zu identifizieren, um die öffentlich verfügbaren persönlichen Informationen aus dem Konto abzurufen, z. B. sein Profilbild. Eine bösartige Website kann diese Informationen also erhalten, nur weil ein im Hintergrund aktiver Tab oder ein Fenster auf die IndexedDB-API zugreifen kann. Wenn Sie andere Websites besuchen, werden diese Daten ebenfalls in der Datenbank gespeichert, was bedeutet, dass Ihr Browserverlauf auch für Dritte sichtbar ist.
Hier ist ein offizielles Video des Fingerprinting-Benchmark-Dienstes, das veranschaulicht, wie die Schwachstelle funktioniert . Die Website verfügt über eine Proof-of-Concept-Demoseite, die Sie von Ihrem macOS-, iOS- oder iPadOS-Gerät aus öffnen können, um zu testen, ob Ihr Browser vom IndexedDB-Bug betroffen ist. Die Demo-Site erkennt viele, darunter Alibaba, Google, Dropbox, Twitter, VK, WhatsApp, Xbox, um nur einige zu nennen, aber viele andere Websites könnten Ziel des Exploits sein.
Ich habe versucht, auf die Seite auf meinem alten iPad zuzugreifen, und Safari 14 scheint nicht von dem Fehler betroffen zu sein. Aber als mein Freund die Demo-Site auf seinem iPhone mit Safari 15 besuchte, sagte die Seite, dass sein Browser für den Exploit anfällig sei, und enthüllte seine eindeutige Google-ID-Nummer als Beweis dafür.
WERBUNG
Der zuerst von 9to5Mac entdeckte Artikel besagt, dass Apple diesen Safari-Bug noch nicht gepatcht hat, obwohl FingerprintJS ihn am 28. November der Firma Cupertino gemeldet hatte.
WERBUNG