Die Sicherheitslücke in Safari 15 lässt die Identität von Benutzern und den Verlauf der Website auslaufen

Neu entdeckte Schwachstelle im Safari-Webbrowser von Apple Inc und der zugehörige WebKit-Code kann die Benutzeridentität und den Website-Verlauf preisgeben.

Offen und am 14. Januar von Forschern bei FingerprintJs Inc. detailliert beschrieben, bezieht sich die Schwachstelle auf die Implementierung von Safari 15 auf der IndexedDB-Anwendungsprogrammierschnittstelle. IndexedDB ist eine clientseitige Speicher-API, die zum Speichern erheblicher Datenmengen entwickelt wurde und in vielen Browsern zu finden ist.

Die Schwachstelle wurde Apple und WebKit Bug Tracker Ende November offenbart, aber bis heute Morgen, dem 17. Januar, nicht entfernt. Die Forscher fügten hinzu, dass der Fehler für Verbraucher bestehen bleibt, bis der Fix veröffentlicht wird.

Das Problem mit Safari ist die Art und Weise, wie es von Apple implementiert wurde und gegen die „Same Origin“-Richtlinie verstößt, die verhindert, dass Dokumente und Skripte an einem Ort mit Inhalten anderer interagieren. Infolgedessen kann eine bösartige Website Informationen über ein Google LLC-Konto sowie einen Verlauf geöffneter Registerkarten und Fenster finden.

Das Problem betrifft nicht die Daten in IndexedDB, sondern offenbart die Namen der Datenbanken. In einigen Fällen haben Forscher Websites gefunden, die eindeutige benutzerspezifische Kennungen in Datenbanknamen verwenden. Dies bedeutet, dass authentifizierte Benutzer eindeutig und genau identifiziert werden können, mit einigen beliebten Beispielen wie YouTube, Google Kalender und Google Notizen.

„Die Benutzer-ID von Google ist eine interne Kennung, die von Google generiert wird“, erklärten die Forscher. “Es identifiziert ein Google-Konto eindeutig. Kann mit der Google-API verwendet werden, um die öffentlichen persönlichen Informationen des Kontoinhabers abzurufen. Die von diesen APIs angezeigten Informationen werden von vielen Faktoren gesteuert. Generell ist in der Regel zumindest das Profilbild vorhanden.“

Sie fügten hinzu, dass dies bedeutet, dass eine unzuverlässige oder bösartige Website die Identität eines Benutzers erfahren und mehrere separate Konten verknüpfen kann, die von denselben Benutzern verwendet werden.

FingerprintJS hat Erstellen Sie eine Demoseite die zeigt, wie die Identität von Nutzern offengelegt wird, wenn sie in demselben Browser bei ihrem Google-Konto angemeldet sind. Die Demo erkennt das Vorhandensein von 20 oder mehr Websites in anderen Abschnitten oder Fenstern des Browsers, einschließlich Google Kalender, Youtube, Twitter und Bloomberg.

Bild: FingerprintJS