Apple Browser

Sicherheitslücke in Safari bedroht Nutzerdaten

Sicherheitsexperten haben eine Schwachstelle in Apples Browser Safari entdeckt. Darüber könnten Nutzerdaten ausspioniert werden.
Von 
CSO | 18. Januar 2022 17:20 Uhr
Safari 15 ist von einer Sicherheitslücke betroffen.
Safari 15 ist von einer Sicherheitslücke betroffen.
Foto: Soumyabrata Roy - shutterstock.com

Apple gilt als Vorreiter beim Schutz der Anwenderprivatsphäre. Vor allem wenn es um die Verhinderung von webseitenübergreifendem Tracking geht. Doch der Betrugserkennungsdienst FingerprintJS hat festgestellt, dass die aktuelle Safari-Version 15 einen Programmfehler enthält. Über den Bug könnten Angreifer nicht nur den aktuellen Browserverlauf der User einsehen, sondern auch auf andere sensible Daten zugreifen.

Den Experten zufolge liegt der Fehler bei der Implementierung der "Indexed Database API". Über diese Schnittstelle können Websites Daten lokal in einer Datenbank speichern und anschließend abrufen. Dabei soll die sogenannte Same-Origin-Policy eigentlich dafür sorgen, dass nur die Domain, mit der die Datenbank erstellt wurde, auf diese zugreifen kann. Das Problem: Interagiert eine Webseite unter Safari 15 und MacOS oder einem beliebigen Browser unter iOS oder iPadOS mit einer Datenbank, wird "eine neue (leere) Datenbank mit demselben Namen in allen anderen aktiven Frames, Tabs und Fenstern innerhalb derselben Browsersitzung erstellt", heißt es bei FingerprintJS. Dadurch könnten andere Internetseiten an die Namen in der Datenbank kommen und erfahren, welche Websites der Benutzer in verschiedenen Registerkarten oder Fenstern besucht.

Eine weitere Gefahr sei, so der Bericht, dass Datenbanken auch persönliche Informationen wie eine Nutzer-ID enthalten können. Das trifft zum Beispiel auf Besitzer eines Google-Accounts zu. Denn wenn sie ihr Konto auf Webseiten wie Youtube oder dem Google-Kalender verwenden, wird eine eindeutige, interne Nutzer-ID in den Datenbanknamen eingetragen. Aufgrund der Sicherheitslücke könnten unbefugte Dritte an User-Daten wie Name und Profilbild kommen.

Dies bedeute jedoch nicht nur, dass nicht vertrauenswürdige oder böswillige Websites die Identität eines Benutzers kapern können, sondern ermöglicht auch die Verknüpfung mehrerer separater Konten, die von demselben Benutzer verwendet werden, warnen die Sicherheitsexperten in ihrem Bericht.

Aktuell hat Apple noch kein Update zur Verfügung gestellt, um das Problem zu beheben. Um das Ausnutzen der Lücke zu verhindern, empfiehlt FingerprintJS Safari-Nutzern entweder Javascript zu deaktivieren oder unter MacOS auf einen anderen Browser wie Firefox, Brave oder Chrome zu wechseln. Unter iOS sei der Wechsel jedoch keine Option, da alle Browser betroffen wären.

Julia Mutzbauer ist  Editor bei CSO. Ihr Schwerpunkt ist Security.