Safari-Bug leakt die Browser-Historie und Google-Kontoinformationen der Nutzer

Ein Softwarefehler in Apples Safari 15 kann es jeder Website ermöglichen, Ihre kürzliche Internetnutzung und sogar einige Google-Kontoinformationen zu erhalten sowie Ihre Identität offenzulegen.

Laut einem Blogbeitrag von FingerprintJS, einem Dienst für Browser-Fingerprinting und Betrugserkennung, wurde der Fehler in der Implementierung der IndexedDB-API in Safari 15 eingeführt, die Teil von Apples WebKit-Webbrowser-Entwicklungs-Engine ist.

Für diejenigen, die es nicht wissen: IndexedDB ist eine Browser-API für die clientseitige Speicherung, die dazu entworfen wurde, erhebliche Datenmengen zu halten, die in allen gängigen Browsern unterstützt wird und sehr häufig verwendet wird.

Wie die meisten modernen Webbrowser-Technologien folgt IndexedDB der Same-Origin-Policy, die ein grundlegender Sicherheitsmechanismus ist, der einschränkt, wie Dokumente oder Skripte, die von einer Herkunft geladen werden, mit Ressourcen von anderen Ursprüngen interagieren können. Indexed-Datenbanken sind mit einer bestimmten Herkunft verbunden.

„Dokumente oder Skripte, die mit verschiedenen Ursprüngen verbunden sind, sollten niemals die Möglichkeit haben, mit Datenbanken zu interagieren, die mit anderen Ursprüngen verbunden sind“, sagt der Blog.

In Safari 15 auf macOS und in allen Browsern auf iOS und iPadOS 15 verstößt die IndexedDB-API gegen die Same-Origin-Policy. Wenn eine Website mit einer Datenbank in Safari interagiert, sagt FingerprintJS, dass eine neue (leere) Datenbank mit demselben Namen in allen anderen aktiven Frames, Tabs und Fenstern innerhalb derselben Browsersitzung erstellt wird.

Die Tatsache, dass Datenbanknamen über verschiedene Ursprünge hinweg geleakt werden, ist ein offensichtlicher Verstoß gegen die Privatsphäre. Es ermöglicht beliebigen Websites zu erfahren, welche Websites der Nutzer in verschiedenen Tabs oder Fenstern besucht. Dies ist möglich, weil Datenbanknamen typischerweise einzigartig und websitespezifisch sind.

Darüber hinaus beobachtete FingerprintJS, dass in einigen Fällen Websites eindeutige, benutzerspezifische Identifikatoren in Datenbanknamen verwenden. Das bedeutet, dass authentifizierte Nutzer eindeutig und präzise identifiziert werden können.

Einige beliebte Beispiele wären YouTube, Google Kalender oder Google Keep. Alle diese Websites erstellen Datenbanken, die die authentifizierte Google-Nutzer-ID enthalten, und falls der Nutzer in mehreren Konten angemeldet ist, werden Datenbanken für all diese Konten erstellt.

Die Google-Nutzer-ID ist ein interner Identifikator, der von Google generiert wird. Er identifiziert eindeutig ein einzelnes Google-Konto, das mit Google-APIs verwendet werden kann, um öffentliche persönliche Informationen des Kontoinhabers abzurufen.

„Das bedeutet nicht nur, dass unzuverlässige oder böswillige Websites die Identität eines Nutzers erfahren können, sondern es ermöglicht auch die Verknüpfung mehrerer separater Konten, die vom selben Nutzer verwendet werden“, schrieb FingerprintJS.

Beachten Sie, dass diese Leaks keine spezifische Nutzeraktion erfordern. Ein Tab oder Fenster, das im Hintergrund läuft und kontinuierlich die IndexedDB-API nach verfügbaren Datenbanken abfragt, kann in Echtzeit erfahren, welche anderen Websites ein Nutzer besucht. Alternativ können Websites jede Website in einem iframe oder Popup-Fenster öffnen, um einen auf IndexedDB basierenden Leak für diese spezifische Seite auszulösen.

FingerprintJS hat eine Demoseite erstellt, die zeigt, wie eine Website die Google-Kontoidentität eines jeden Besuchers erfahren kann. Die Demo ist verfügbar unter safarileaks.com. Sie können es ausprobieren, wenn Sie Safari 15 oder höher auf Ihrem Mac, iPhone oder iPad haben. Derzeit erkennt die Demo nur die Anwesenheit von 20+ Websites in anderen Browser-Tabs oder -Fenstern, einschließlich Google Kalender, YouTube, Twitter und Bloomberg.

FingerprintJS gab an, dass es den Safari-Bug am 28. November 2021 als Bug 233548 an den WebKit Bug Tracker gemeldet hat; jedoch hat Apple das Problem noch nicht behoben.

Bis dahin könnte die einzige Lösung darin bestehen, standardmäßig alle JavaScript zu blockieren und es nur auf vertrauenswürdigen Seiten zuzulassen. Eine weitere Alternative für Safari-Nutzer auf Macs besteht darin, vorübergehend zu einem anderen Browser zu wechseln. Leider ist dies auf iOS und iPadOS keine Option, da alle Browser betroffen sind.