Safari 15-bug die browsergeschiedenis en gegevens deelde met websites opgelost
Safari 15 wordt geteisterd door een wel heel slordige bug. Malafide websites kunnen zonder enige moeite je actieve browsergeschiedenis opvragen. De bug werd ontdekt door FingerprintJS, zij kwamen tot de ontdekking dat browseractiviteiten wordt gedeeld met anderen.
Ook kunnen gegevens van Google-accounts gedeeld worden met malafide websites. Het probleem is aanwezig in zowel de Safari 15 versie voor Mac, iPhone en iPad. Apple heeft dit probleem in iOS 15.3, iPadOS 15.3 en Safari 15.3 opgelost, het is aan te raden deze software-update z.s.m. te installeren.
Probleem opgelost, installeer nu software-update
Apple heeft niet officieel gereageerd op dit lek, maar het probleem is onder iOS 15.3, iPadOS 15.3 en Safari 15.3 opgelost. Het is dus aan te raden deze updates zo snel mogelijk te installeren. Safari 15.3 voor Mac kun je downloaden via de macOS-update voor jouw systeem.
--- Oorspronkelijk bericht ---
Safari-bug deelt gegevens
FingerprintJS meldt dat browseractiviteiten en de gegevens van Google-accounts gedeeld worden met anderen in Safari. Volgens FingerprintJS is er momenteel een probleem met de implementatie van de IndexedDB-api. Deze is verantwoordelijk voor het opslaan van data binnen je browser. Dit is een soort van lokale database en zorgt ervoor dat alleen de website die bepaalde data genereert, daar als enige toegang tot heeft.
Voor Google is dit bijvoorbeeld handig, want alleen deze website mag de gegevens normaal inzien en gebruiken zodat je niet altijd moet inloggen of dat meteen de goede suggestie wordt gegeven bij het inloggen op een nieuwe (Google) website.
Normaal krijgt een website alleen toegang tot de eigen gegevens die ze in de IndexedDB-database heeft geplaatst. Door een bug kunnen ook andere websites deze gegevens inzien en misbruik van maken. Gelukkig worden er geen wachtwoorden of andere gevoelige informatie hierin opgeslagen, maar kan via deze methode wel de huidige browsergeschiedenis en bijvoorbeeld je Google ID + openbare gegevens buit gemaakt worden.
Demo laat bug zien
FingerprintJS heeft een demowebsite gemaakt die laat zien hoe de bug in safari precies werkt. Door de webpagina in Safari voor iPhone, iPad of Mac te openen kun je de bug 'testen'. Meteen krijg je jouw Google ID en profielfoto te zien. Door een voorgestelde website te openen kun je zien dat de demo dit kan registeren en zo kan achterhalen welke tabbladen er op dit moment actief zijn.
De demo is veilig te gebruiken, maar kwaadwillenden kunnen hier wel misbruik van maken. Hoe precies is nog niet helemaal duidelijk. Het feit dat de database verschillende bronnen lekt, is een duidelijke schending van de privacy. Hiermee kunnen willekeurige websites leren welke websites de gebruiker bezoekt in verschillende tabbladen of vensters. Van je Google-account kunnen ze alleen de openbare gegevens buitmaken, maar wel ook je Google ID dat normaal alleen door Google wordt gebruikt.
Auteur | Wesley Fabry | |
Bijgewerkt | 27/01/2022 09:28 | |
Categorie | Uitleg | |