Hacker können diesen Fehler ausnutzen, um an Ihre Google-Benutzer-ID zu gelangen
Der Fehler ermöglicht es jeder Website, die die IndexedDB-API zur Datenspeicherung verwendet, die Namen anderer Websites zu erhalten, die vom Benutzer während einer Browsersitzung geöffnet wurden, selbst wenn sie in einem anderen Tab oder Fenster geöffnet sind. Betroffene Websites müssen außerdem IndexedDB verwenden, von dem bekannt ist, dass es „eine beträchtliche Datenmenge“ enthält.
Einige dieser Datenbanken legen benutzerspezifische Kennungen offen, die von Angreifern verwendet werden können, um den Namen des Benutzers zu erfassen. Zu den Apps, die diese benutzerspezifischen Kennungen in ihre Datenbanken aufnehmen, gehören YouTube, Google Kalender und Google Notizen.
Identifikatoren, die mit Apps wie YouTube, Google Kalender und Google Notizen verwendet werden, enthalten die Google-Benutzer-ID einer Person. Sie können dies selbst beweisen, indem Sie Safarileaks.com im mobilen Webbrowser Ihres iPhone oder iPad öffnen. Folgen Sie den Anweisungen und je nachdem, welche Websites Sie kürzlich besucht haben, wird Ihre Google-Benutzer-ID zusammen mit dem Namen bestimmter Websites angezeigt, die Sie kürzlich geöffnet haben.
Geräte mit iOS 14 oder iPadOS 14 sind von dem Fehler nicht betroffen
Mit Ihrer Google-Benutzer-ID kann ein Hacker ein bestimmtes Google-Konto identifizieren. Vielleicht etwas besorgniserregender, in Kombination mit Google APIs könnte der Fehler einem Hacker zumindest Ihr Profilbild und im schlimmsten Fall viel mehr persönliche Informationen preisgeben.
Eines der Probleme mit diesem Fehler ist, dass Sie nichts Besonderes tun müssen, um sich selbst einem Risiko auszusetzen. Sie müssen nicht dazu verleitet werden, auf einen Link zu tippen oder eine bestimmte Website zu öffnen. Und FingerprintJS entdeckte, dass 30 der 1.000 am häufigsten besuchten Websites (berechnet von Alexa) IndexedDB direkt auf ihrer Homepage haben, was es einem iPhone- oder iPad-Benutzer leicht macht, unwissentlich direkt in diesen Fehler einzudringen.
Und bis Apple das Update ausliefert, kann ein Benutzer wirklich nicht viel tun, um dies zu vermeiden. Mac-Benutzer können den Browser wechseln, aber iOS- und iPadOS-Benutzer müssen bei einem Browser bleiben, der auf der WebKit-Engine läuft, so dass das nicht viel helfen wird. Ein Vorschlag ist, standardmäßig jegliches JavaScript zu blockieren und es nur auf Websites zuzulassen, denen 100 % vertrauenswürdig ist.