Sicherheitslücke: Apples Safari leakt besuchte Webseiten und Nutzer-IDs

Ein Fehler in Safari hebelt eine Schutzfunktion aus. Diese soll verhindern, dass Webseiten die Daten von anderen Domains einsehen können.

Artikel veröffentlicht am ,
Apples Browser Safari
Apples Browser Safari (Bild: Karlis Dambrans/CC-BY 2.0)

Über eine Schwachstelle, die in Apples Browser Safari 15 eingeführt wurde, können Webseiten die Browsing-Aktivitäten oder andere persönliche Informationen ausspähen. Entdeckt hat das Problem der Fingerprinting- und Betrugserkennungsdienst FingerprintJS.

Stellenmarkt
  1. Workday Security Administrator (München oder Remote) (m/w/d)
    Hays AG, München, remote
  2. Android Software Architect (m/f/d)
    Elektrobit Automotive GmbH, Ulm
Detailsuche

Das Problem liegt in Apples Implementierung der IndexedDB. Über die Schnittstelle können Webseiten Datenbanken im Browser erstellen, darin Daten ablegen und anschließend wieder abrufen. Die Same-Origin-Policy sorgt dabei eigentlich dafür, dass nur die Domain, mit der die Datenbank erstellt wurde, auf diese zugreifen kann.

Interagiert eine Webseite unter Safari 15 unter MacOS oder einem beliebigen Browser unter iOS oder iPadOS mit einer Datenbank, wird jedoch "eine neue (leere) Datenbank mit demselben Namen in allen anderen aktiven Frames, Tabs und Fenstern innerhalb derselben Browsersitzung erstellt", erklärt FingerprintJS. Das bedeute, dass andere Webseiten den Namen der Datenbank sehen können, die von anderen Webseiten erstellt worden sind.

Apple-Sicherheitslücke leakt besuchte Webseiten und Nutzer-IDs

Über die auf diese Weise geleakten Datenbanken "können beliebige Websites erfahren, welche Websites der Benutzer in verschiedenen Registerkarten oder Fenstern besucht", heißt es in dem Bericht. Das sei möglich, da die Datenbank üblicherweise eindeutig webseitenspezifisch ist.

Golem Karrierewelt
  1. Microsoft Azure Administration: virtueller Zwei-Tage-Workshop
    22./23.08.2022, virtuell
  2. Cloud Competence Center: Strategien, Roadmap, Governance: virtueller Ein-Tages-Workshop
    26.07.2022, Virtuell
Weitere IT-Trainings

Zudem könnten die Datenbanken auch persönliche Informationen wie eine Nutzer-ID enthalten. Das handhabe beispielsweise Google so, erklärt der Fingerprinting-Dienstleister. Verwenden Nutzer ihr Google-Konto auf Webseiten wie Youtube oder dem Google-Kalender, wird die eindeutige, interne Nutzer-ID in den Datenbanknamen eingetragen - der durch die Sicherheitslücke von anderen Webseiten abgerufen werden kann.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Mit Googles Nutzer-ID könnten öffentlich einsehbare Informationen über eine API abgefragt werden. Das bedeute, dass eine Webseite die Identität des Nutzers in Erfahrung bringen könnte, erklärt FingerprintJS. Zudem könnten mehrere unterschiedliche Konten eines Nutzers miteinander in Verbindung gebracht werden. Neben Google würden auch etliche andere Webseiten die Datenbanken mit eindeutigen Benutzer-IDs benennen, darunter auch Werbenetzwerke.

Gemeldet wurde die Lücke bereits am 28. November 2021 im Bugtracker von Webkit, der Browser-Engine von Safari. Ein Update gibt es bis dato nicht. Um das Ausnutzen der Lücke zu verhindern, können Nutzer entweder Javascript deaktivieren oder unter MacOS auf einen anderen Browser wie Firefox, Brave oder Chrome wechseln. Da unter iOS alle Browser auf Apples Browser-Implementierung zurückgreifen müssen, gibt es hier keine entsprechende Alternative.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


NotReallyMe 20. Jan 2022

Genau dieses direkte Anklicken von URLs anderes Seiten würde ich nicht empfehlen, sondern...

HerrHinternwald 17. Jan 2022

Habe keine Probleme, aber mit einer Version von vor einem Jahr zu surfen ist heutzutage...

ul mi 17. Jan 2022

Die haben eventuell das alte Netscape-Problem: nach X Iterationen von...



Aktuell auf der Startseite von Golem.de
Optibike
E-Bike mit 480 km Reichweite kostet 17.000 Euro

Das E-Bike Optibike R22 Everest setzt mit seinen zwei Akkus auf Reichweite.

Optibike: E-Bike mit 480 km Reichweite kostet 17.000 Euro
Artikel
  1. Krypto-Kriminalität: Behörden fahnden nach Onecoin-Betrügerin
    Krypto-Kriminalität
    Behörden fahnden nach Onecoin-Betrügerin

    Deutsche und internationale Behörden suchen nach den Hintermännern und -frauen von Onecoin. Der Schaden durch Betrug mit der vermeintlichen Kryptowährung geht in die Milliarden.

  2. Hassrede: Bayern will soziale Netzwerke bestrafen
    Hassrede
    Bayern will soziale Netzwerke bestrafen

    Der bayrische Justizminister fordert, bei der Verbreitung von Hassrede auch die Betreiber von sozialen Medien stärker zur Verantwortung zu ziehen.

  3. Prehistoric Planet: Danke, Apple, für so grandiose Dinosaurier!
    Prehistoric Planet
    Danke, Apple, für so grandiose Dinosaurier!

    Musik von Hans Zimmer, dazu David Attenborough als Sprecher: Apples Prehistoric Planet hat einen Kindheitstraum zum Leben erweckt.
    Ein IMHO von Marc Sauter

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Samsung 870 QVO 1 TB 79€ • Prime Video: Filme leihen für 0,99€ • Alternate (u. a. Recaro Rae Essential 429€) • Gigabyte RTX 3080 12 GB ab 1.024€ • Mindstar (u. a. AMD Ryzen 5 5600 179€, Palit RTX 3070 GamingPro 669€) • SanDisk Ultra microSDXC 256 GB ab 14,99€ • Sackboy 19,99€ [Werbung]
    •  /