Apple Browser
Sicherheitslücke in Safari bedroht Nutzerdaten
Foto: Soumyabrata Roy - shutterstock.com
Apple gilt als Vorreiter beim Schutz der Anwenderprivatsphäre. Vor allem wenn es um die Verhinderung von webseitenübergreifendem Tracking geht. Doch der Betrugserkennungsdienst FingerprintJS hat festgestellt, dass die aktuelle Safari-Version 15 einen Programmfehler enthält. Über den Bug könnten Angreifer nicht nur den aktuellen Browserverlauf der User einsehen, sondern auch auf andere sensible Daten zugreifen.
Den Experten zufolge liegt der Fehler bei der Implementierung der "Indexed Database API". Über diese Schnittstelle können Websites Daten lokal in einer Datenbank speichern und anschließend abrufen. Dabei soll die sogenannte Same-Origin-Policy eigentlich dafür sorgen, dass nur die Domain, mit der die Datenbank erstellt wurde, auf diese zugreifen kann. Das Problem: Interagiert eine Webseite unter Safari 15 und MacOS oder einem beliebigen Browser unter iOS oder iPadOS mit einer Datenbank, wird "eine neue (leere) Datenbank mit demselben Namen in allen anderen aktiven Frames, Tabs und Fenstern innerhalb derselben Browsersitzung erstellt", heißt es bei FingerprintJS. Dadurch könnten andere Internetseiten an die Namen in der Datenbank kommen und erfahren, welche Websites der Benutzer in verschiedenen Registerkarten oder Fenstern besucht.
Eine weitere Gefahr sei, so der Bericht, dass Datenbanken auch persönliche Informationen wie eine Nutzer-ID enthalten können. Das trifft zum Beispiel auf Besitzer eines Google-Accounts zu. Denn wenn sie ihr Konto auf Webseiten wie Youtube oder dem Google-Kalender verwenden, wird eine eindeutige, interne Nutzer-ID in den Datenbanknamen eingetragen. Aufgrund der Sicherheitslücke könnten unbefugte Dritte an User-Daten wie Name und Profilbild kommen.
Dies bedeute jedoch nicht nur, dass nicht vertrauenswürdige oder böswillige Websites die Identität eines Benutzers kapern können, sondern ermöglicht auch die Verknüpfung mehrerer separater Konten, die von demselben Benutzer verwendet werden, warnen die Sicherheitsexperten in ihrem Bericht.
Aktuell hat Apple noch kein Update zur Verfügung gestellt, um das Problem zu beheben. Um das Ausnutzen der Lücke zu verhindern, empfiehlt FingerprintJS Safari-Nutzern entweder Javascript zu deaktivieren oder unter MacOS auf einen anderen Browser wie Firefox, Brave oder Chrome zu wechseln. Unter iOS sei der Wechsel jedoch keine Option, da alle Browser betroffen wären.