Mel
Bei vielen Apple-Usern gehört die Nutzung des hauseigenen Browsers Safari zum Alltag. Auch bei mir hat sich der Apple-Webbrowser aufgrund der hervorragenden Synchronisation und Verknüpfung auf all meinen Geräten durchgesetzt. Wie nun der Blog von FingerprintJS aufgedeckt hat, gibt es in Safari einen schwerwiegenden Bug, der den jüngsten Browserverlauf und sogar Informationen über das eingeloggte Google-Konto offenlegen kann.
„Ein Fehler in der IndexedDB-Implementierung von Safari auf Mac und iOS bedeutet, dass eine Website die Namen von Datenbanken für jede beliebige Domain sehen kann, nicht nur für ihre eigene. Die Datenbanknamen können dann verwendet werden, um identifizierende Informationen aus einer Tabelle zu extrahieren. Die Google-Dienste speichern zum Beispiel eine IndexedDB-Instanz für jedes Ihrer angemeldeten Konten, wobei der Name der Datenbank Ihrer Google-Nutzer-ID entspricht.“
So berichtet dazu das Apple-Magazin 9to5Mac. Mit dem Exploit, den FingerprintJS aufgedeckt hat, können potentiell bösartige Websites die eigene Google-ID auslesen und dann diese ID verwenden, um andere Infos über die Person herauszufinden.
„Der Fehler besteht einfach darin, dass die Namen aller IndexedDB-Datenbanken für jede Website verfügbar sind; der Zugriff auf den tatsächlichen Inhalt jeder Datenbank ist jedoch eingeschränkt. Die Behebung des Problems – und das korrekte Verhalten, das in anderen Browsern wie Chrome zu beobachten ist – besteht darin, dass eine Website nur die Datenbanken sehen kann, die unter demselben Domänennamen wie die eigene erstellt wurden.“
Laut FingerprintJS sind alle aktuellen Versionen von Safari auf iPhone, iPad und Mac betroffen.
„Leider gibt es nicht viel, was Safari-, iPadOS- und iOS-Nutzer tun können, um sich zu schützen, ohne drastische Maßnahmen zu ergreifen. Eine Möglichkeit wäre, JavaScript standardmäßig zu blockieren und es nur auf vertrauenswürdigen Websites zuzulassen. Das macht modernes Web-Browsing unbequem und ist wahrscheinlich nicht für jeden eine gute Lösung.“
Zudem erklärt der Blog, dass man den Fehler bereits am 28. November 2021 an Apple gemeldet habe, aber noch immer keine Behebung des Bugs erfolgt sei. Es ist also an Apple, hier schnellstmöglich tätig zu werden.
Marlene
Freddy
Fabian