Lücke in Safari 15 zeigt Teile des Verlaufs und Google-ID

Die Macher von FingerprintJS, einer «Browser Fingerprinting API», haben eine Sicherheitslücke in Safari 15 respektive WebKit entdeckt, die es Webseiten erlaubt, den Surf-Verlauf und einige Informationen zum eigenen Google-Account auszulesen. Betroffen ist Safari 15 unter macOS sowie alle Browser unter iOS 15 und iPadOS 15.

Stefan Rechsteiner

Die Lücke wird in einem ausführlichen Artikel beschrieben. Ursprung ist eine fehlerhafte Implementierung von «IndexedDB» in WebKit. Die Technologie hält sich fälschlicherweise nicht an die «Same-Origin-Policy», mit der verhindert wird, dass eine Webseite mit Daten interagiert, die von einer anderen Webseite angelegt wurden. Das heisst, mit der Same-Origin-Policy können nur Webseiten auf die von ihr selbst angelegten Daten zugreifen, aber nicht auf jene, die von anderen Webseiten generiert wurden. Wenn also in einem Tab oder Fenster ein Web-Dienst genutzt wird, kann eine bösartige Webseite in einem anderen Tab oder Fenster dank der Policy nicht auf die Daten des Dienstes im anderen Tab/Fenster zugreifen. Die Richtlinie sorgt entsprechend dafür, dass die bösartige Seite die Daten des Web-Dienstes nicht einsehen und weiterverwenden kann. Wie FingerprintJS herausgefunden hat, wird die Same-Origin-Policy in der IndexedDB-Implementierung von WebKit respektive Safari 15 ignoriert. Tatsächlich scheint es relativ einfach, aufgrund des Fehlers die Daten anderer Webseiten auszulesen – jedoch müssen die «gesuchten» Webseiten gezielt ausgelesen werden. Überdies kann auch die persönliche Google-User-ID, und damit einige öffentlich zugängliche Informationen wie das Profil-Bild durch den Bug ausgelesen und theoretisch missbräuchlich verwendet werden.

Wie die Bug-Entdecker schreiben, haben sie die Lücke bereits Ende November an Apple gemeldet. Bisher hat der Mac-Hersteller die Lücke aber noch nicht behoben – was nun aber möglicherweise rasch geschehen könnte, da die Publizierung der Lücke seit gestern prominent im Internet umhergereicht wird.

Neben dem oben erwähnten ausführlichen Artikel wird die Lücke auch in folgendem Video erklärt und demonstriert. Die möglichen Auswirkungen der Lücke selbst ausprobiert werden kann mit einer PoC-Demo auf safarileaks.com.

«How IndexedDB in Safari 15 leaks your browsing activity (in real time)» (FingerprintJS)

Zugehörige Themen