[Update] Safari: Bug im Browser legt private Daten offen

Apps
1
Hendrik

Keine erfreulichen Nachrichten für Nutzer des Safari Browsers: Eine Sicherheitslücke kann dazu führen, dass private Daten wie der Browser-Verlauf oder die Google ID zugänglich gemacht werden. 

[Update] Safari: Bug im Browser legt private Daten offen

Der hauseigene Browser Safari gehört bei vielen Nutzern zum alltäglichen Werkzeug auf dem Smartphone. In einem Blog von FingerprintJS wird jedoch aktuell auf eine vorhandene Sicherheitslücke in Safari 15 hingewiesen, die teilweise schwerwiegende Folgen haben kann. Unter Umständen werden der jüngste Browserverlauf und sogar Informationen über das hinterlegte Google-Konto offengelegt. 

Insgesamt sollen mindestens 30 Seiten betroffen sein, darunter Instagram, Netflix oder Twitter. Die Dunkelziffer dürfte allerdings weitaus höher liegen. 

Der Fehler befindet sich in Apples Implementierung der IndexedDB-API, mit der Webseiten Datenbanken lokal abspeichern können. Aktuell können diverse Server bereits in Safari abgelegte IndexedDBs abfragen, wodurch unerlaubtes Tracking ermöglicht wird. Hieraus lässt sich ablesen, auf welchen Seiten der Nutzer unterwegs war. 

Fehler seit November bekannt

Dem Bericht zufolge beschränkt sich das Problem nicht nur auf die macOS-Version von Safari, sondern auch auf den iOS- bzw. iPadOS-Browser. Durch die Leaks könnten Unberechtigte Surfhistorien der Nutzer erstellen, um die Daten für Werbezwecke zu nutzen. Kriminelle Angreifer könnten über den Browserverlauf zudem intime Details der jeweiligen Person herausfinden. 

In der IndexedDB von YouTube befindet sich außerdem die authentifizierte Google-ID, über die sich mithilfe der Google-API weitere Informationen wie das Profilbild einsehen lassen. 

Der Fehler befindet sich offensichtlich ausschließlich in Safari 15 für den Mac sowie in allen iOS/iPadOS 15-WebKit-Browsern. In dem Posting wird außerdem darauf hingewiesen, dass die Sicherheitslücke Apple bereits seit November bekannt ist. Bisher hat sich Cupertino zu der Sicherheitslücke allerdings nicht geäußert. Ob das Unternehmen bereits an einem Bugfix arbeitet ist nicht bekannt. 

Wie man sich schützen kann

Ob Nutzer etwas unternehmen können, um sich vor dem Leck zu schützen, beantwortet der Verfasser Martin Bajanik folgendermaßen:

"Leider gibt es nicht viel, was Safari-, iPadOS- und iOS-Nutzer tun können, um sich zu schützen, ohne drastische Maßnahmen zu ergreifen. Eine Möglichkeit wäre, JavaScript standardmäßig zu blockieren und es nur auf vertrauenswürdigen Websites zuzulassen."

Endgültige Abhilfe wird erst ein Update mit sich bringen. Bis dahin hofft das Entwicklerteam, dass sie mit ihrem Blogeintrag das Bewusstsein für das bestehende Sicherheitsproblem schärfen können. 

Update: Apple bereit Bugfix vor

An der kürzlich bekanntgewordenen Schwachstelle, bei der im Browser eine Datenspeicherung durch die Implementierung von IndexedDB erfolgt, soll bereits mit Hochdruck gearbeitet werden. Aus einem WebKit-Commit auf GitHub geht hervor, dass Apple ein Bugfix für das Sicherheitsproblem vorbereite. 

Das Problem soll mit einem kommenden Update von iOS/iPadOS 15 und macOS Monterey aus der Welt geschafft werden. 

1 Kommentar

Möglicher Workaround bis Fix kommt?

Wenn man alle Webseitdaten entfernt, sollten die indexedDBs ebenfalls gelöscht werden. Das mache ich immer nach jeder Sitzung. Meine Tests mit der Exploit Demo Seite scheinen das auch zu bestätigen (auf IPad getestet) Muss es mir mal noch auf dem Mac ansehen. Da sieht man dann ja die indexedDB Files und ob sie weg sind.

Kommentieren
Als Amazon-Partner verdiene ich an qualifizierten Verkäufen.
Öffne AppTicker-News
in der AppTicker-News App
im Browser