Sicherheitsfirma
FingerabdruckJS (über
9to5Mac) veröffentlichte am Freitag einen Bericht über einen Fehler, der in der iOS 15-Version des mobilen Browsers Safari gefunden wurde. Der Bericht besagt, dass dieser Fehler „jede Website Ihre Internetaktivitäten verfolgen und sogar Ihre Identität preisgeben lässt“. Ein Fehler, der in einer Anwendungsprogrammierschnittstelle (API) gefunden wird, die von den meisten Browsern verwendet und unterstützt wird, könnte von Angreifern verwendet werden, um viele Dinge über Sie herauszufinden.
Eine API wird von Programmierern verwendet, um Teile der Software mit anderer Software zu verbinden, was die Entwicklung von Programmen erleichtert. Eine solche API namens IndexedDB wird von den meisten gängigen Browsern unterstützt und enthält das, was der Bericht „eine beträchtliche Menge an Daten“ nennt.
Safari auf iOS 15 und iPadOS 15 hat einen Fehler, der ausgenutzt werden kann, um Ihre persönlichen Daten preiszugeben
Der Fehler in iOS 15, iPadOS 15 und macOS ermöglicht es zufälligen Websites, zu erfahren, welche anderen Websites ein Benutzer in anderen Fenstern und Registerkarten besucht. Das ist möglich, weil Websites wie YouTube, Google Kalender und Google Notizen „eindeutige benutzerspezifische Kennungen“ in ihren Datenbanknamen verwenden. Dadurch können authentifizierte Benutzer identifiziert werden, da die oben genannten Websites Datenbanken erstellen, die die Google-Benutzer-ID des Benutzers enthalten, und Datenbanken für alle verwendeten Konten geöffnet werden.
Die Google User ID führt einen Angreifer zu einer Fülle von persönlichen Daten. Jeder kann verwendet werden, um ein bestimmtes Google-Konto zu identifizieren, und in Kombination mit Google-APIs kann er zumindest Ihr Profilbild an einen Hacker weitergeben. Es könnte dem Angreifer auch helfen, viel mehr persönliche Informationen abzugreifen und „mehrere separate Konten“ aufzudecken, die demselben Benutzer gehören.
Leider erfordert das Erfassen Ihrer persönlichen Daten keine bestimmte Aktion, da der Bericht besagt: „Eine Registerkarte oder ein Fenster, das im Hintergrund ausgeführt wird und die IndexedDB-API kontinuierlich nach verfügbaren Datenbanken abfragt, kann erfahren, welche anderen Websites ein Benutzer tatsächlich besucht Alternativ können Websites jede Website in einem Iframe oder Popup-Fenster öffnen, um ein IndexedDB-basiertes Leck für diese bestimmte Website auszulösen.
FingerprintJS überprüfte die 1.000 am häufigsten besuchten Websites von Alexa und stellte fest, dass 30 mit indizierten Datenbanken direkt auf ihrer Homepage interagieren, ohne dass eine Interaktion oder Authentifizierung durch den Benutzer erforderlich ist. Selbst wenn eine Person den privaten Modus in Safari verwendet und mehrere Websites über dieselbe Registerkarte besucht, werden alle Datenbanken, mit denen interagiert wird, auf die Websites übertragen, die der Benutzer anschließend besucht.
Gibt es eine Möglichkeit, diesen Fehler zu vermeiden?
Es gibt nicht viel, was ein Safari-Benutzer tun kann, wenn er iOS 15 oder iPadOS 15 ausführt. Ein Vorschlag ist, JavaScript standardmäßig zu blockieren und es nur auf Websites zuzulassen, denen 100 % vertrauenswürdig ist. Mac-Benutzer können den Browser wechseln, um diesem Fehler zu entkommen, aber dies ist keine Lösung für iOS 15 oder iPadOS 15. Wir sollten darauf hinweisen, dass der Fehler von FingerprintJS am 28. November 2021 als Fehler 233548 an den WebKit-Fehler-Tracker übermittelt wurde.
Wenn Sie dies auf Ihrem iPhone oder iPad überprüfen möchten, öffnen Sie Safari und zeigen Sie darauf www.safarileaks.com und folgen Sie den einfachen Anweisungen. Schnell (zu schnell) erscheint der Name der zuletzt von Ihnen besuchten Website (falls es sich um eine der auf der Demo-Seite aufgeführten Websites handelte) und Ihre eindeutige Google-Benutzer-ID kann abgerufen werden.
Ehrlich gesagt, die einzige Lösung, die Sie haben, ist zu warten Apple, die iOS- und iPadOS-Software zu aktualisieren und sicherzustellen, dass sie installiert wird, sobald sie veröffentlicht wird. Wenn Sie einen Mac verwenden, ist das Ändern des Browsers eine gültige Option, obwohl dies bei iOS und iPadOS nicht der Fall ist. Und denken Sie daran, dass Benutzer keine bestimmte Aktion ausführen müssen, um den Fehler auszulösen.
