Threat Research

Apple-Safari-Nutzer aufgepasst – Private Daten können über ein Leck in der Datenbank-API abfließen

Verfasst von
19. Januar 2022
Threat Research Apple featured

Forscher des Browser-Identifikationsunternehmens FingerprintJS haben kürzlich einen faszinierenden Datenleck-Bug in Apples Webbrowser-Software entdeckt und offengelegt. Auf den ersten Blick klingt der Fehler sowohl undramatisch als auch unwichtig: Obwohl private Daten zwischen separaten Browser-Tabs mit Inhalten von nicht verwandten Websites durchsickern können, ist die Menge an Daten, die abfließt, winzig. Aber auch wenn der aktuelle Fall keine vollständige Datenschutzkatastrophe ist, so soll es definitiv nicht funktionieren! Es ist ein bisschen wie eine Situation, in der jeder, der in der Lage ist, nur das Deckblatt Ihres Passes zu sehen – nicht einmal die Bildseite, nur die Außenseite – sofort eine vollständige Liste aller Länder, die der Passbesitzer in letzter Zeit besucht hat, aufgelistet bekommt.

Technisch gesehen existiert der Fehler in Apples Open-Source-WebKit-Browser-Engine, was bedeutet, dass er jeden Browser betrifft, der auf WebKit basiert. Damit umfasst das Problem alle Versionen von Apples eigenem Safari-Browser, unabhängig davon, ob er auf macOS, iPhone oder iPad ausgeführt wird. Eine detaillierte Analyse hat unsere Kollege Paul Ducklin vorgenommen, hier erst einmal die wichtigsten To-Dos:

  1. Unter macOS können Sie einfach einen anderen Browser verwenden, bis Apple einen Fix herausgibt. Browser wie Firefox, Edge und Chrome verwenden die WebKit-Engine nicht und sind nicht betroffen.
  2. Auf iDevices können Sie das Risiko wahrscheinlich etwas reduzieren, indem Sie Ihre Website-Daten regelmäßig löschen. Der Wechsel zu einem anderen Browser hilft nicht, da alle App-Store-Browser intern WebKit verwenden. Das Löschen von Webdaten (Einstellungen > Safari > Verlauf und Daten löschen) bedeutet normalerweise, dass Sie sich anmelden und die Einstellungen für jede Website, die Sie in letzter Zeit verwendet haben, neu anpassen müssen. Sobald Sie eine dieser Websites erneut verwenden, wird die IndexedDB-Liste natürlich erneut aktualisiert.
  3. Überprüfen Sie die Seite mit den Sicherheitshinweisen von Apple für Updates. Laut FingerprintJS hat Apple das Problem kürzlich anerkannt und damit begonnen, Korrekturen für den Open-Source-Code von WebKit hinzuzufügen.
Informationen zum Autor

Nachdem ein Großteil seiner Arbeit von PR-Aktivitäten für Sophos Europe eingenommen wird, ist der Sophos-Blog eine willkommene Abwechslung, um die journalistischen Gehirnwindungen zu aktivieren :-)

Ähnliche Artikel lesen

Antwort hinterlassen

Your email address will not be published. Required fields are marked *