Sicherheitslücke: Apples Safari leakt besuchte Webseiten und Nutzer-IDs

Ein Fehler in Safari hebelt eine Schutzfunktion aus. Diese soll verhindern, dass Webseiten die Daten von anderen Domains einsehen können.

Artikel veröffentlicht am ,
Apples Browser Safari
Apples Browser Safari (Bild: Karlis Dambrans/CC-BY 2.0)

Über eine Schwachstelle, die in Apples Browser Safari 15 eingeführt wurde, können Webseiten die Browsing-Aktivitäten oder andere persönliche Informationen ausspähen. Entdeckt hat das Problem der Fingerprinting- und Betrugserkennungsdienst FingerprintJS.

Stellenmarkt
  1. Digital Solutions Manager (m/w/d)
    P.E.G. Einkaufs- und Betriebsgenossenschaft eG, München
  2. Senior Software Developer (m/w / divers)
    Eurowings Aviation GmbH, Köln
Detailsuche

Das Problem liegt in Apples Implementierung der IndexedDB. Über die Schnittstelle können Webseiten Datenbanken im Browser erstellen, darin Daten ablegen und anschließend wieder abrufen. Die Same-Origin-Policy sorgt dabei eigentlich dafür, dass nur die Domain, mit der die Datenbank erstellt wurde, auf diese zugreifen kann.

Interagiert eine Webseite unter Safari 15 unter MacOS oder einem beliebigen Browser unter iOS oder iPadOS mit einer Datenbank, wird jedoch "eine neue (leere) Datenbank mit demselben Namen in allen anderen aktiven Frames, Tabs und Fenstern innerhalb derselben Browsersitzung erstellt", erklärt FingerprintJS. Das bedeute, dass andere Webseiten den Namen der Datenbank sehen können, die von anderen Webseiten erstellt worden sind.

Apple-Sicherheitslücke leakt besuchte Webseiten und Nutzer-IDs

Über die auf diese Weise geleakten Datenbanken "können beliebige Websites erfahren, welche Websites der Benutzer in verschiedenen Registerkarten oder Fenstern besucht", heißt es in dem Bericht. Das sei möglich, da die Datenbank üblicherweise eindeutig webseitenspezifisch ist.

Golem Akademie
  1. Adobe Photoshop für Social Media Anwendungen: virtueller Zwei-Tage-Workshop
    29./30.06.2022, virtuell
  2. IT-Grundschutz-Praktiker mit Zertifikat: Drei-Tage-Workshop
    04.-06.07.2022, Virtuell
Weitere IT-Trainings

Zudem könnten die Datenbanken auch persönliche Informationen wie eine Nutzer-ID enthalten. Das handhabe beispielsweise Google so, erklärt der Fingerprinting-Dienstleister. Verwenden Nutzer ihr Google-Konto auf Webseiten wie Youtube oder dem Google-Kalender, wird die eindeutige, interne Nutzer-ID in den Datenbanknamen eingetragen - der durch die Sicherheitslücke von anderen Webseiten abgerufen werden kann.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Mit Googles Nutzer-ID könnten öffentlich einsehbare Informationen über eine API abgefragt werden. Das bedeute, dass eine Webseite die Identität des Nutzers in Erfahrung bringen könnte, erklärt FingerprintJS. Zudem könnten mehrere unterschiedliche Konten eines Nutzers miteinander in Verbindung gebracht werden. Neben Google würden auch etliche andere Webseiten die Datenbanken mit eindeutigen Benutzer-IDs benennen, darunter auch Werbenetzwerke.

Gemeldet wurde die Lücke bereits am 28. November 2021 im Bugtracker von Webkit, der Browser-Engine von Safari. Ein Update gibt es bis dato nicht. Um das Ausnutzen der Lücke zu verhindern, können Nutzer entweder Javascript deaktivieren oder unter MacOS auf einen anderen Browser wie Firefox, Brave oder Chrome wechseln. Da unter iOS alle Browser auf Apples Browser-Implementierung zurückgreifen müssen, gibt es hier keine entsprechende Alternative.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


NotReallyMe 20. Jan 2022

Genau dieses direkte Anklicken von URLs anderes Seiten würde ich nicht empfehlen, sondern...

HerrHinternwald 17. Jan 2022

Habe keine Probleme, aber mit einer Version von vor einem Jahr zu surfen ist heutzutage...

ul mi 17. Jan 2022

Die haben eventuell das alte Netscape-Problem: nach X Iterationen von...



Aktuell auf der Startseite von Golem.de
Strange New Worlds Folge 1 bis 3
Star Trek - The Latest Generation

Strange New Worlds kehrt zu episodenhaften Geschichten zurück und will damit Star-Trek-Fans alter Schule abholen. Das gelingt mit Bravour. Achtung, Spoiler!
Eine Rezension von Oliver Nickel

Strange New Worlds Folge 1 bis 3: Star Trek - The Latest Generation
Artikel
  1. LTE-Patent: Ford droht Verkaufs- und Produktionsverbot in Deutschland
    LTE-Patent
    Ford droht Verkaufs- und Produktionsverbot in Deutschland

    Ford fehlen Mobilfunk-Patentlizenzen, weshalb das Landgericht München eine drastische Entscheidung gefällt hat. Autos droht sogar die Vernichtung.

  2. Flowcamper: Elektro-Wohnmobil Frieda Volt auf VW-Basis vorgestellt
    Flowcamper
    Elektro-Wohnmobil Frieda Volt auf VW-Basis vorgestellt

    Das elektrische Wohnmobil Frieda Volt basiert auf einem umgebauten Volkswagen T5 oder T6 und ist mit einem 72-kWh-Akku ausgerüstet.

  3. Cariad: Aufsichtsrat greift bei VWs Softwareentwicklung durch
    Cariad
    Aufsichtsrat greift bei VWs Softwareentwicklung durch

    Die Sorge um die Volkswagen-Softwarefirma Cariad hat den Aufsichtsrat veranlasst, ein überarbeitetes Konzept für die ehrgeizigen Pläne vorzulegen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Borderlands 3 gratis • CW: Top-Rabatte auf PC-Komponenten • Inno3D RTX 3070 614€ • Crucial P5 Plus 2 TB 229,99€ • Preis-Tipp: Kingston NV1 2 TB 129,90€ • AVM FRITZ!Repeater 1200 AX 69€ • MindStar (u. a. Palit RTX 3050 339€) • MMOGA (u. a. Total War Warhammer 3 29,49€) [Werbung]
    •  /