Volgens bevindingen van VingerafdrukJS, een browser-vingerafdruk- en fraudedetectieservice, een bug in Safari 15 kan uw online activiteit en sommige persoonlijke informatie die aan uw Google-account is gekoppeld (via 9to5Mac). Het probleem heeft betrekking op Apple’s implementatie van GeïndexeerdeDB, een API die gegevens opslaat in uw browser.
IndexedDB houdt zich, net als alle webdatabases, aan het beleid van dezelfde oorsprong, wat betekent dat de ene oorsprong geen interactie kan hebben met gegevens die op een andere oorsprong zijn gegenereerd. Het beleid van dezelfde oorsprong voorkomt dat een kwaadwillende pagina uw e-mail bekijkt en ermee knoeit als u uw e-mailaccount op het ene tabblad opent en vervolgens een schadelijke site op een ander bezoekt.
De Safari-bug die uw Google-gebruikers-ID blootstelt aan andere sites
Apple’s implementatie van de IndexedDB API in Safari 15 is volgens FingerprintJS in strijd met het beleid van dezelfde oorsprong. Wanneer een website interactie heeft met een database in Safari, beweert FingerprintJS dat “een nieuwe (lege) database met dezelfde naam wordt gemaakt in alle andere actieve frames, tabbladen en vensters binnen dezelfde browsersessie.”
Dit geeft aan dat andere websites de namen kunnen zien van andere databases die op andere sites zijn ontwikkeld en die informatie kunnen bevatten die specifiek is voor uw identiteit. FingerprintJS identificeert websites die uw Google-account gebruiken, zoals onder andere YouTube, Google Agenda en Google Keep. Omdat uw Google-gebruikers-ID Google toegang geeft tot uw openbaar beschikbare gegevens, zoals uw profielafbeelding, kan de kwetsbaarheid in Safari deze blootstellen aan andere websites.
Dit is een enorme bug. Op OSX kunnen Safari-gebruikers (tijdelijk) overschakelen naar een andere browser om te voorkomen dat hun gegevens over de oorsprong heen lekken. iOS-gebruikers hebben zo’n keuze niet, omdat Apple andere browser-engines een verbod oplegt. https://t.co/aXdhDVIjTT
— Jake Archibald (@jaffathecake) 16 januari 2022
De Indiase overheid waarschuwt Chrome-gebruikers voor een beveiligingsprobleem
FingerprintJS gemaakt een proof-of-concept-demo je kunt evalueren of je Safari 15 of hoger op je Mac, iPhone of iPad hebt. De demonstratie gebruikt de IndexedDB-fout van de browser om de sites te identificeren die je hebt geopend (of onlangs hebt geopend), en hoe sites die profiteren van de fout informatie kunnen verzamelen van je Google-gebruikers-ID. Het detecteert momenteel slechts 30 grote sites die door de bug zijn getroffen, zoals Instagram, Netflix, Twitter en Xbox, maar het zal waarschijnlijk nog veel meer gevolgen hebben.
Helaas kun je er niet veel aan doen, omdat de bug ook invloed heeft op de privénavigatiemodus in Safari. U kunt een andere browser gebruiken op macOS, maar alle browsers worden beïnvloed door Apple’s browser-engineverbod van derden op iOS. Op 28 november meldde FingerprintJS het lek aan de WebKit Bug Tracker, maar er moet nog een update voor Safari zijn.