Apple arbeitet an einem Fix, um den iOS 15, iPadOS 15 Safari-Bug zu beseitigen

0


Vor ein paar Tagen haben wir euch von a erzählt ziemlich schwerwiegender Safari-Bug, der in bestimmten Händen zum Diebstahl persönlicher Daten führen könnte. Der Bericht von FingerprintJS besagt, dass der Fehler „jede Website Ihre Internetaktivitäten verfolgen und sogar Ihre Identität preisgeben lässt“. Das Sicherheitsforschungsunternehmen hat den Fehler am 28. November 2021 an den WebKit Bug Tracker übermittelt und gem MacRumors, eine Lösung von Apple scheint bald zu kommen.
Auf GitHub weist ein WebKit-Commit darauf hin, dass Apple seine Ingenieure an einem Fix arbeiten lässt, um den Fehler zu beseitigen. Es wird erwartet, dass dies in Kürze an iPhone-, iPad- und Mac-Benutzer über Updates für iOS, iPadOS bzw. macOS Monterey weitergegeben wird. WebKit ist die von Safari verwendete Webbrowser-Engine, und da Apple verlangt, dass alle Browser auf dem iPhone und iPad von WebKit gesteuert werden, sind Browser von Drittanbietern wie Chrome und Edge unter iOS 15 und iPadOS 15 von demselben Fehler betroffen.

Hacker können diesen Fehler ausnutzen, um an Ihre Google-Benutzer-ID zu gelangen

Der Fehler ermöglicht es jeder Website, die die IndexedDB-API zur Datenspeicherung verwendet, die Namen anderer Websites zu erhalten, die vom Benutzer während einer Browsersitzung geöffnet wurden, selbst wenn sie in einem anderen Tab oder Fenster geöffnet sind. Betroffene Websites müssen außerdem IndexedDB verwenden, von dem bekannt ist, dass es „eine beträchtliche Datenmenge“ enthält.

Einige dieser Datenbanken legen benutzerspezifische Kennungen offen, die von Angreifern verwendet werden können, um den Namen des Benutzers zu erfassen. Zu den Apps, die diese benutzerspezifischen Kennungen in ihre Datenbanken aufnehmen, gehören YouTube, Google Kalender und Google Notizen.

Identifikatoren, die mit Apps wie YouTube, Google Kalender und Google Notizen verwendet werden, enthalten die Google-Benutzer-ID einer Person. Sie können dies selbst beweisen, indem Sie Safarileaks.com im mobilen Webbrowser Ihres iPhone oder iPad öffnen. Folgen Sie den Anweisungen und je nachdem, welche Websites Sie kürzlich besucht haben, wird Ihre Google-Benutzer-ID zusammen mit dem Namen bestimmter Websites angezeigt, die Sie kürzlich geöffnet haben.

Geräte mit iOS 14 oder iPadOS 14 sind von dem Fehler nicht betroffen

Mit Ihrer Google-Benutzer-ID kann ein Hacker ein bestimmtes Google-Konto identifizieren. Vielleicht etwas besorgniserregender, in Kombination mit Google APIs könnte der Fehler einem Hacker zumindest Ihr Profilbild und im schlimmsten Fall viel mehr persönliche Informationen preisgeben.

Der Fehler wirkt sich nicht auf Safari 14 auf macOS oder den mobilen Browser auf iOS 14 und iPadOS 14 aus. Allerdings wurden 72 % der iPhone-Modelle in den letzten vier Jahren veröffentlicht und 63 % aller kompatiblen iPhone-Geräte laufen mit iOS 15, das entspricht einer großen Anzahl von Apple-Handys, die ausgenutzt werden können.

Eines der Probleme mit diesem Fehler ist, dass Sie nichts Besonderes tun müssen, um sich selbst einem Risiko auszusetzen. Sie müssen nicht dazu verleitet werden, auf einen Link zu tippen oder eine bestimmte Website zu öffnen. Und FingerprintJS entdeckte, dass 30 der 1.000 am häufigsten besuchten Websites (berechnet von Alexa) IndexedDB direkt auf ihrer Homepage haben, was es einem iPhone- oder iPad-Benutzer leicht macht, unwissentlich direkt in diesen Fehler einzudringen.

Und bis Apple das Update ausliefert, kann ein Benutzer wirklich nicht viel tun, um dies zu vermeiden. Mac-Benutzer können den Browser wechseln, aber iOS- und iPadOS-Benutzer müssen bei einem Browser bleiben, der auf der WebKit-Engine läuft, so dass das nicht viel helfen wird. Ein Vorschlag ist, standardmäßig jegliches JavaScript zu blockieren und es nur auf Websites zuzulassen, denen 100 % vertrauenswürdig ist.

Das WebKit Commit schlägt vor, dass das Update bald erscheinen wird, aber das ist möglicherweise nicht früh genug für datenschutzorientierte iPhone- und iPad-Benutzer, die mit der Idee nicht zufrieden sind, dass ihr Browserverlauf, ihr Profilbild und weitere persönliche Daten entdeckt werden können zusammen mit ihrer Identität.

source site-33