Ein schwerwiegender Safari-Bug, der von FingerprintJS aufgedeckt wurde, kann Informationen über den aktuellen Browserverlauf und sogar einige Daten des eingeloggten Google-Kontos preisgeben.
Ein Fehler in der IndexedDB-Implementierung von Safari auf Mac und iOS bedeutet, dass eine Website die Namen von Datenbanken für jede beliebige Domain sehen kann, nicht nur für die eigene. Die Datenbanknamen können dann verwendet werden, um identifizierende Informationen aus einer Nachschlagetabelle zu extrahieren. Das berichtet FingerprintJS in einem neuen Beitrag. Die Google-Dienste speichern zum Beispiel eine IndexedDB-Instanz für jedes deiner eingeloggten Konten, wobei der Name der Datenbank deiner Google User ID entspricht. Mit dem im Beitrag beschriebenen Exploit könnte eine böswillige Website deine Google-Nutzer-ID auslesen und dann diese ID verwenden, um andere persönliche Informationen über dich herauszufinden, da die ID verwendet wird, um API-Anfragen an Google-Dienste zu stellen. In der Proof-of-Concept-Demo wird das Profilbild des Nutzers angezeigt.
Safari-Bug: Noch hat Apple nicht reagiert
Das Proof-of-Concept enthält nur eine Nachschlagetabelle mit etwa 30 Domainnamen. Doch es gibt keinen Grund, warum die Technik nicht auf eine viel größere Menge angewendet werden kann. Nahezu jede Website, die die IndexedDB JavaScript API verwendet, könnte für ein solches Data Scraping anfällig sein. Der Fehler besteht einfach darin, dass die Namen aller IndexedDB-Datenbanken für jede Website zugänglich sind. Der Zugriff auf den eigentlichen Inhalt der einzelnen Datenbanken ist jedoch eingeschränkt. Die Lösung – und das korrekte Verhalten, das in anderen Browsern wie Chrome zu beobachten ist – besteht darin, dass eine Website nur die Datenbanken sehen kann, die unter demselben Domainnamen wie die eigene erstellt wurden. Alle aktuellen Versionen von Safari auf iPhone, iPad und Mac sind demnach betroffen. FingerprintJS sagt, dass sie den Fehler am 28. November an Apple gemeldet haben. Behoben wurde das Problem bislang allerdings nicht. (Photo by hadrian / Bigstockphoto)
