Ein Fehler in Safari 15 kann Browsing-Aktivitäten ausspähen und auch einige Informationen eines Google-Kontos preisgeben. Dies geht aus den Erkenntnissen der Sicherheitsexperten von FingerprintJS hervor. Die Schwachstelle ist auf ein Problem in Apples Implementierung von IndexedDB zurückzuführen, einer Anwendungsprogrammierschnittstelle (API), die Daten im Browser speichert.
WebKit-Bug gibt Nutzerdaten preis
Ein Fehler in der IndexedDB-Implementierung von Safari auf Mac und iOS/iPadOS bedeutet, dass eine Webseite die Namen von Datenbanken für jede beliebige Domain sehen kann, nicht nur für ihre eigene. Die Datenbanknamen können dann verwendet werden, um identifizierende Informationen aus einer Lookup-Tabelle zu extrahieren.
Beispielsweise speichern die Google-Dienste eine IndexedDB-Instanz für jedes eurer eingeloggten Konten, wobei der Name der Datenbank eure Google-Nutzer-ID entspricht. Mit dem im Blogbeitrag beschriebenen Exploit könnte eine bösartige Webseite somit eure Google-Nutzer-ID auslesen und dann diese ID verwenden, um andere persönliche Informationen über euch herauszufinden, da die ID verwendet wird, um API-Anfragen an Google-Dienste zu stellen. In einer Proof-of-Concept-Demo wird als Beispiel das Profilbild des Nutzers angezeigt.
Sie sehen gerade einen Platzhalterinhalt von Youtube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Die Proof-of-Concept-Demo enthält nur eine Lookup-Tabelle mit etwa 30 Domainnamen, aber es gibt keinen Grund, warum die Technik nicht auf eine viel größere Menge angewendet werden könnte. Nahezu jede Webseite, die die IndexedDB JavaScript API verwendet, könnte für ein solches Data Scraping anfällig sein.
Der Fehler besteht darin, dass die Namen aller IndexedDB-Datenbanken für jede Webseite verfügbar sind; der Zugriff auf den tatsächlichen Inhalt jeder Datenbank ist jedoch eingeschränkt. Die Behebung des Problems – und das korrekte Verhalten, das in anderen Browsern zu beobachten ist – besteht darin, dass eine Webseite nur die Datenbanken sehen kann, die unter dem gleichen Domänennamen wie die eigene erstellt wurden.
Alle aktuellen Versionen von Safari auf iPhone, iPad und Mac sind angreifbar, heißt es bei FingerprintJS. Der Fehler wurde am 28. November an den WebKit Bug Tracker gemeldet. Weitere Details findet ihr im zugehörigen Blogbeitrag.
Sie sehen gerade einen Platzhalterinhalt von Facebook. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von Instagram. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von X. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr Informationen
0 Kommentare