Im Apple-Browser Safari wurde eine schwerwiegende Sicherheitslücke entdeckt. Ein Software-Bug ermöglicht es Webseiten, die Online-Aktivitäten von Nutzern auszulesen und sogar ihre Identitäten zu enthüllen. Nutzer von Safari sollten aktuell einen anderen Browser nutzen.
Die Sicherheitslücke in Safari 15, der aktuellen Version des Apple-Browsers, wurde von der Sicherheitsfirma FingerprintJS entdeckt und bereits am 28. November 2021 an Apple gemeldet. Bis heute ist der schwerwiegende Bug im Browser aber noch nicht behoben, berichtet die Webseite The Hacker News. Ein Fehler bei der Implementierung der IndexedDB API sorgt dafür, dass die Online-Aktivitäten von Nutzern ausgelesen werden und sogar ihre Identitäten enthüllt werden können. Das kann sie zu leichten Zielen von Scam- und Phishing-Angriffen machen.
Kurzer Exkurs: IndexedDB und Same-Origin-Policy
Die IndexedDB ist eine API, die von Webbrowsern bereitgestellt wird, um eine NoSQL-Datenbank mit strukturierten Datenobjekten zu verwalten. Wie die meisten anderen Speicherlösungen im Web befolgt IndexedDB die Same-Origin-Policy. Diese besagt, dass man innerhalb einer Domain auf abgespeicherte Daten Zugriff hat. Über verschiedene Domains hinweg ist grundsätzlich jedoch kein Zugriff möglich.
Die Same-Origin-Policy ist ein fundamentaler Sicherheitsmechanismus, der sicherstellt, dass Ressourcen, die von unterschiedlichen Ursprüngen abgerufen werden, voneinander isoliert sind. Die Isolation der Ressourcen soll es bösartigen Scripts erschweren, Zugriff auf Daten von anderen Domains zu erhalten.
Safari verletzt die Same-Origin-Policy
Das Problem bei Safari ist aktuell, dass die IndexedDB API die Same-Origin-Policy verletzt. Ein Bug sorgt dafür, dass jedes Mal, wenn eine Website mit einer Datenbank interagiert, eine neue (leere) Datenbank mit demselben Namen in allen anderen aktiven Frames, Tabs und Fenstern innerhalb derselben Browsersitzung erstellt wird, erklärt Martin Bajanik von FingerprintJS. Dieser Fehler ermöglicht es Webseiten auszulesen, auf welchen anderen Webseiten ein Safari-Nutzer unterwegs ist.
Ein weiteres großes Problem: Besucht der Nutzer die Website eines Google-Dienstes wie YouTube wird in der angelegten Datenbank auch die authentifizierte Google-Benutzer-ID abgelegt, mit der sich ein Google-Konto eindeutig identifizieren lässt.
Der Bug ermöglicht es bösartigen Websites und Scripts ein Browsing-Profil des Nutzers zu erstellen, die Identität eines Nutzers zu enthüllen und womöglich sogar mehrere genutzte Accounts des Nutzers miteinander in Verbindung zu setzen. Damit werden ausspionierte Nutzer zu leichten Zielen für Phishing- und Scam-Mails.
Das kannst Du gegen die Sicherheitslücke tun
Leider lässt sich das Datenleck in Safari nicht mit der Nutzung des privaten Surfmodus umgehen. Wir empfehlen Dir aktuell auf die Nutzung von Safari auf macOS und iOS beziehungsweise iPadOS zu verzichten, bis Apple die Sicherheitslücke im eigenen Browser schließt.