Die Sicherheitsexperten von FingerprintJS haben in WebKit, der Browser-Engine, die unter anderem in Safari auf iPhone, iPad und Mac zum Einsatz kommt, eine neue Lücke entdeckt. Diese kann von einer speziell präparierten Webseite dazu genutzt werden, um Details zu deinem Surfverhalten herauszufinden.
9to5Mac berichtete über die Details der Lücke, die am 14. Januar von FingerprintJS veröffentlicht wurden. Diese Veröffentlichung beinhaltet neben dem notwendigen Quelltext auch eine Demo-Seite, die die Probleme offenbart.
Sicherheitslücke im iPhone-Browser kann persönliche Daten verraten
In einer Demonstration der Lücke zeigen die Experten, dass die Seite in der Lage ist, unter anderem die Aktivitäten von Google und diversen anderen Anbietern zu tracken. Die Demo zeigt, dass man beispielsweise in der Lage ist, die eindeutige Google-ID eines Nutzers auslesen. Dies ist möglich, da der Name der Datenbanken von Google, YouTube, etc. diese ID beinhaltet.
Mithilfe dieser ID ist es dank Googles Programmierschnittstellen dann beispielsweise möglich, das Profilbild eines Nutzers auszulesen. Damit könnte man theoretisch auch weitere persönliche Details herausfinden, so die Entwickler. In einem Video zeigt man den Fehler:
Dieses Element von Youtube kann auf dieser reduzierten Version der Webseite nicht dargestellt werden.
jetzt ansehenKern des Problems ist ein Fehler in der IndexedDB. Diese Datenbank können Webseiten dazu nutzen, um Daten im Browser des Nutzers zu speichern. Eigentlich sollten diese Datenbanken geschützt sein, sodass Webseiten nur Zugriff auf ihre eigenen Daten hat. Der Fehler erlaubt jedoch übergreifenden Zugriff, welcher die Namen der vorhandenen Datenbanken preisgibt. Damit sind möglicherweise persönliche Daten in Gefahr. Auch das Tracking eines Anwenders über mehrere Seiten ist so möglich. Angreifer könnten so ein umfangreiches Profil eines Anwenders erstellen.
Betroffen sind Safari 15 in macOS sowie alle Browser für iOS 15 und iPadOS 15. Auf den mobilen Geräten erlaubt Apple keine alternativen Browser-Engines, sodass beispielsweise auch Chrome auf iPhone und iPad betroffen ist.
Laut Martin Bajanik, Software-Entwickler bei FingerprintJS, hat Apple in den vergangenen Stunden bereits entsprechende Updates eingereicht, womit man die Lücke schließen will. Nun muss das Unternehmen jedoch noch Updates für die betroffenen Betriebssysteme veröffentlichen, um den Fehler auch auf den Geräten seiner Nutzer zu beheben.