Sicherheitslücke: Apples Safari leakt besuchte Webseiten und Nutzer-IDs

Ein Fehler in Safari hebelt eine Schutzfunktion aus. Diese soll verhindern, dass Webseiten die Daten von anderen Domains einsehen können.

Artikel veröffentlicht am ,
Apples Browser Safari
Apples Browser Safari (Bild: Karlis Dambrans/CC-BY 2.0)

Über eine Schwachstelle, die in Apples Browser Safari 15 eingeführt wurde, können Webseiten die Browsing-Aktivitäten oder andere persönliche Informationen ausspähen. Entdeckt hat das Problem der Fingerprinting- und Betrugserkennungsdienst FingerprintJS.

Stellenmarkt
  1. Project Lead (m/w/d)
    SEITENBAU GmbH, Konstanz, remote
  2. Mitarbeiter (m/w/d) IT-Support/IT-Servicedesk
    VR Payment GmbH, Frankfurt am Main
Detailsuche

Das Problem liegt in Apples Implementierung der IndexedDB. Über die Schnittstelle können Webseiten Datenbanken im Browser erstellen, darin Daten ablegen und anschließend wieder abrufen. Die Same-Origin-Policy sorgt dabei eigentlich dafür, dass nur die Domain, mit der die Datenbank erstellt wurde, auf diese zugreifen kann.

Interagiert eine Webseite unter Safari 15 unter MacOS oder einem beliebigen Browser unter iOS oder iPadOS mit einer Datenbank, wird jedoch "eine neue (leere) Datenbank mit demselben Namen in allen anderen aktiven Frames, Tabs und Fenstern innerhalb derselben Browsersitzung erstellt", erklärt FingerprintJS. Das bedeute, dass andere Webseiten den Namen der Datenbank sehen können, die von anderen Webseiten erstellt worden sind.

Apple-Sicherheitslücke leakt besuchte Webseiten und Nutzer-IDs

Über die auf diese Weise geleakten Datenbanken "können beliebige Websites erfahren, welche Websites der Benutzer in verschiedenen Registerkarten oder Fenstern besucht", heißt es in dem Bericht. Das sei möglich, da die Datenbank üblicherweise eindeutig webseitenspezifisch ist.

Golem Akademie
  1. Microsoft 365 Security: virtueller Drei-Tage-Workshop
    29.06.-01.07.2022, Virtuell
  2. Go für Einsteiger: virtueller Zwei-Tages-Workshop
    25./26.07.2022, Virtuell
Weitere IT-Trainings

Zudem könnten die Datenbanken auch persönliche Informationen wie eine Nutzer-ID enthalten. Das handhabe beispielsweise Google so, erklärt der Fingerprinting-Dienstleister. Verwenden Nutzer ihr Google-Konto auf Webseiten wie Youtube oder dem Google-Kalender, wird die eindeutige, interne Nutzer-ID in den Datenbanknamen eingetragen - der durch die Sicherheitslücke von anderen Webseiten abgerufen werden kann.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Mit Googles Nutzer-ID könnten öffentlich einsehbare Informationen über eine API abgefragt werden. Das bedeute, dass eine Webseite die Identität des Nutzers in Erfahrung bringen könnte, erklärt FingerprintJS. Zudem könnten mehrere unterschiedliche Konten eines Nutzers miteinander in Verbindung gebracht werden. Neben Google würden auch etliche andere Webseiten die Datenbanken mit eindeutigen Benutzer-IDs benennen, darunter auch Werbenetzwerke.

Gemeldet wurde die Lücke bereits am 28. November 2021 im Bugtracker von Webkit, der Browser-Engine von Safari. Ein Update gibt es bis dato nicht. Um das Ausnutzen der Lücke zu verhindern, können Nutzer entweder Javascript deaktivieren oder unter MacOS auf einen anderen Browser wie Firefox, Brave oder Chrome wechseln. Da unter iOS alle Browser auf Apples Browser-Implementierung zurückgreifen müssen, gibt es hier keine entsprechende Alternative.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


NotReallyMe 20. Jan 2022

Genau dieses direkte Anklicken von URLs anderes Seiten würde ich nicht empfehlen, sondern...

HerrHinternwald 17. Jan 2022

Habe keine Probleme, aber mit einer Version von vor einem Jahr zu surfen ist heutzutage...

ul mi 17. Jan 2022

Die haben eventuell das alte Netscape-Problem: nach X Iterationen von...



Aktuell auf der Startseite von Golem.de
Autoindustrie
Mit handgeknüpften Kabelbäumen gegen die Lieferkrise

Der Krieg in der Ukraine unterbricht die Lieferkette bei den Kabelbäumen. Jetzt suchen Autohersteller nach neuen Produktionswegen.
Von Wolfgang Gomoll

Autoindustrie: Mit handgeknüpften Kabelbäumen gegen die Lieferkrise
Artikel
  1. Ukrainekrieg: Warum das Internet in der Ukraine noch läuft
    Ukrainekrieg
    Warum das Internet in der Ukraine noch läuft

    Kaum Monopolisten, keine zentralen Internet-Exchanges, schnelle Reparaturen und Hardwarespenden: Das Netz der Ukraine ist sehr widerstandsfähig.

  2. Homeoffice: Bastler baut Gestell für die liegende Büroarbeit im Bett
    Homeoffice
    Bastler baut Gestell für die liegende Büroarbeit im Bett

    Der Bildschirm über dem Kopf, die Tastatur hängt herab: Das Homeoffice aus dem Bett heraus funktioniert - mit Handwerk und Kreativität.

  3. Niedersachsen: Künstliche Intelligenz soll Gewalt im Gefängnis verhindern
    Niedersachsen
    Künstliche Intelligenz soll Gewalt im Gefängnis verhindern

    In Niedersachen erlaubt eine Gesetzesnovelle den Einsatz von KI, um Gefangene vor Gewalt und Suiziden zu schützen. Das Pilotprojekt kostet fast eine Millionen Euro.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 jetzt bestellbar • Cyber Week: Bis zu 900€ Rabatt auf E-Bikes • MindStar (u. a. Intel Core i9 529€, MSI RTX 3060 Ti 609€) • Gigabyte Waterforce Mainboard günstig wie nie: 480,95€ • Razer Ornata V2 Gaming-Tastatur günstig wie nie: 54,99€ • AOC G3 Gaming-Monitor 34" 165 Hz günstig wie nie: 404€ [Werbung]
    •  /