Sicherheitslücke: Apples Safari leakt besuchte Webseiten und Nutzer-IDs

Über eine Schwachstelle, die in Apples Browser Safari 15 eingeführt wurde, können Webseiten die Browsing-Aktivitäten oder andere persönliche Informationen ausspähen. Entdeckt hat das Problem der Fingerprinting- und Betrugserkennungsdienst FingerprintJS.

Das Problem liegt in Apples Implementierung der IndexedDB. Über die Schnittstelle können Webseiten Datenbanken im Browser erstellen, darin Daten ablegen und anschließend wieder abrufen. Die Same-Origin-Policy sorgt dabei eigentlich dafür, dass nur die Domain, mit der die Datenbank erstellt wurde, auf diese zugreifen kann.

Interagiert eine Webseite unter Safari 15 unter MacOS oder einem beliebigen Browser unter iOS oder iPadOS mit einer Datenbank, wird jedoch "eine neue (leere) Datenbank mit demselben Namen in allen anderen aktiven Frames, Tabs und Fenstern innerhalb derselben Browsersitzung erstellt", erklärt FingerprintJS. Das bedeute, dass andere Webseiten den Namen der Datenbank sehen können, die von anderen Webseiten erstellt worden sind.

Apple-Sicherheitslücke leakt besuchte Webseiten und Nutzer-IDs

Über die auf diese Weise geleakten Datenbanken "können beliebige Websites erfahren, welche Websites der Benutzer in verschiedenen Registerkarten oder Fenstern besucht", heißt es in dem Bericht. Das sei möglich, da die Datenbank üblicherweise eindeutig webseitenspezifisch ist.

Zudem könnten die Datenbanken auch persönliche Informationen wie eine Nutzer-ID enthalten. Das handhabe beispielsweise Google so, erklärt der Fingerprinting-Dienstleister. Verwenden Nutzer ihr Google-Konto auf Webseiten wie Youtube oder dem Google-Kalender, wird die eindeutige, interne Nutzer-ID in den Datenbanknamen eingetragen - der durch die Sicherheitslücke von anderen Webseiten abgerufen werden kann.

Mit Googles Nutzer-ID könnten öffentlich einsehbare Informationen über eine API abgefragt werden. Das bedeute, dass eine Webseite die Identität des Nutzers in Erfahrung bringen könnte, erklärt FingerprintJS. Zudem könnten mehrere unterschiedliche Konten eines Nutzers miteinander in Verbindung gebracht werden. Neben Google würden auch etliche andere Webseiten die Datenbanken mit eindeutigen Benutzer-IDs benennen, darunter auch Werbenetzwerke.

Gemeldet wurde die Lücke bereits am 28. November 2021 im Bugtracker von Webkit, der Browser-Engine von Safari. Ein Update gibt es bis dato nicht. Um das Ausnutzen der Lücke zu verhindern, können Nutzer entweder Javascript deaktivieren oder unter MacOS auf einen anderen Browser wie Firefox, Brave oder Chrome wechseln. Da unter iOS alle Browser auf Apples Browser-Implementierung zurückgreifen müssen, gibt es hier keine entsprechende Alternative.