Eine unsachgemäße Implementierung einer weit verbreiteten API in Apples WebKit ist nun für das Durchsickern vertraulicher Daten verantwortlich, die in den Browsern gespeichert sind, die diese API verwenden.
Wie die FingerprintJS-Forscher berichten, ist der Safari-Browser v15, der das WebKit auf iOS, macOS und iPadOS verwendet, davon betroffen. Auch Chrome, Brave und andere Browser, die dieselbe Browser-Engine verwenden, sind davon betroffen. Da das Problem von Apple noch nicht behoben wurde, gaben die Forscher an, dass es bis dahin nur wenige Maßnahmen zur Schadensbegrenzung geben wird.
Safari-Bug in iOS
Da Browser das Tor zum Internet sind, verwenden ihre Hersteller in ihrem Code eine Vielzahl von Tools, um Informationen zu speichern und Daten zu verarbeiten, die die Anforderungen der anderen erfüllen. Und wenn eines dieser Tools nicht richtig eingerichtet ist, kann dies zu schwerwiegenden Sicherheits- und Datenschutzproblemen führen.
Eine Komponente in Apples WebKit verursacht nun solche unerwünschten Probleme. Und sie heißt IndexierteDB– eine Browser-API, die von Browserherstellern häufig für das clientseitige Speichersystem und zum Zwischenspeichern von Web-Anwendungsdaten für die Offline-Anzeige verwendet wird.
Und um Cross-Site-Scripting-Angriffe zu verhindern, verwendet IndexedDB eine „Same-Origin“-Richtlinie, eine Methode, bei der nur berechtigte Tools und Websites auf bestimmte darin gespeicherte Daten zugreifen können. Obwohl es vielversprechend ist, haben Forscher bei FingerprintJS herausgefunden, dass die IndexedDB-API in WebKit von Safari 15 auf macOS nicht der Same-Origin-Policy folgt!
Und auch die iOS-Browser von Drittanbietern (wie Chrome für iOS, Brave für iOS usw.), die dieselbe Engine unter iOS und iPad OS verwenden, sind betroffen. Forscher gaben an, dass dieser Fehler es jeder Website ermöglichen kann, auf die in derselben Sitzung erstellten Datenbanknamen zuzugreifen.
Außerdem könnte es bei der Erstellung eindeutiger Datenbanknamen aufgrund unterschiedlicher Profile zum Verlust benutzerspezifischer Kennungen kommen. Dies führt letztendlich zu benutzeridentifizierbaren Daten, die die Hacker für weitere Ausbeutung nutzen können.
Um die Auswirkungen des Fehlers auf Ihren Browser zu überprüfen, besuchen Sie diese Demonstrationsseite zum Reproduzieren des API-Lecks. Forscher haben dieses Problem am 28. November 2021 an den WebKit Bug Tracker gemeldet und es wurde bisher nicht behoben. Daher besteht eine vorübergehende Abhilfe, bis Apple einen Patch herausbringt, darin:
- Blockieren Sie JavaScript in Ihrem Browserwas dazu beitragen sollte, dass keine Browserdaten verloren gehen, in manchen Fällen beeinträchtigt dies jedoch auch die Funktionalität des Browsers.
- Und der Wechsel zu einem nicht auf WebKit basierenden Webbrowser ist die bessere Option. Diese Alternative ist jedoch nur für macOS geeignet. Benutzer von iOS, iPadOS und Webbrowsern sind weiterhin betroffen.
