Safarileaks: Browser-Bug enthüllt Daten
Alexander Trust, den 17. Januar 2022Eigentlich sollten fremde Webseiten nicht in der Lage sein, auf die Surfhistorie oder persönliche Daten der Nutzerin oder des Nutzers zuzugreifen. Doch ein Bug in der WebKit-Engine von Safari 15 erlaubt den Zugriff auf IndexedDB-Informationen, und sogar ohne Zutun der Nutzer:innen. Die Entdecker sprechen von „Safarileaks“.
In der aktuellen Version der Browserengine WebKit, die Apple in Safari verwendet, gibt es einen Fehler mit der IndexedDB-Javascript-API. Diese Schnittstelle erlaubt Websites das Speichern von Informationen in einer Datenbank-ähnlichen Struktur.
Zugriff auf spezifische Daten?
Die Betreiber der Javascript-Bibliothek FingerprintJS, die die Nutzung von Fingerabdrücken erlaubt, veröffentlichten vor Kurzem Hinweise auf den Fehler in Safari 15.
Websites, die IndexedDB nutzen, können derzeit Informationen von anderen IndexedDB-Entitäten einsehen. Normalerweise sollte eine Website nur die Informationen der eigenen Website sehen. Diese Informationen beschränken sich jedoch auf den Namen der jeweiligen IndexedDB-Instanz. Zugriff auf spezifische Daten bekommt man somit „nicht“. Die Einschränkung setzen wir deshalb in Anführung, weil manche Datenbank-Namen persönliche Informationen enthalten können, wenn die Anbieter sie so auswählen. YouTube beispielsweise nutzt die Anmelde-ID für Google mit im Namen der IndexedDB-Instanz.
Da die einzelnen Instanzen außerdem einzigartige Namen haben, könnte man in jedem Fall nachvollziehen, ob Besucher der eigenen Website auch auf anderen Websites gesurft haben. Ein Verhalten, das der Browser eigentlich verhindern soll.
Wer wissen möchte, wie der Fehler sich im Detail auswirkt, für den hat FingerprintJS ein Video veröffentlicht, in dem man dies nachvollziehen kann. Weitere Details sind auch in einem Blogbeitrag enthalten.
[mn-youtube id="Z7dPeGpCl8s"]Safari 14 nicht betroffen
Der Recherche von FingerprintJS zufolge sind Nutzer:innen von Safari oder Mobile Safari der Version 14 nicht betroffen. Denn der Fehler tritt nur in der verwendeten WebKit-Engine in Safari 15.
Sehr wohl aber sind auch aktuelle Browser von Drittanbietern für iOS betroffen. Das gilt also auch für Google Chrome. Denn diese sind von Apple dazu verpflichtet, dieselbe WebKit-Engine einzusetzen.
Safarileaks?
FingerprintJS hat speziell zu diesem Zweck eine Webseite unter der Domain „Safarileaks“ erstellt. Es handelt sich dabei um eine Live-Demo. Wenn man die Website mit Safari 15 am Mac oder einem anderen iOS-Browser besucht, werden entsprechende Informationen über die vorhandenen IndexedDB-Instanzen angezeigt. Außerdem führt die Website einige Websites an, die von dem Problem betroffen sind, wie Alibaba, Cnet, Dropbox, Bloomberg, Slack, Xbox.com und andere mehr.