Safari-Lücke gibt persönliche Daten preis

Ein Bug in Safari 15 kann den Browserverlauf sowie persönliche Daten preisgeben, die mit einem Google-Konto verknüpft sind, wie FingerpringJS in einem Blogposting mitteilt. Konkret handelt es sich um einen Fehler in der IndexedDB-Implementierung von Safari auf Mac und iOS. 

IndexedDB kann verwendet werden, um Daten auf dem Rechner zu speichern – etwa Webseiten, die man besucht hat. Dadurch können diese schneller laden, wenn man sie erneut aufruft.

Same-Origin-Policy verbietet Zugriff auf Daten anderer Websites

IndexedDB unterliegt der Same-Origin-Policy. Dabei handelt es sich um ein Sicherheitskonzept, das clientseitigen Skriptsprachen wie JavaScript verbietet, auf Daten zuzugreifen, die von einer anderen Webseite stammen. Websites können dadurch nicht frei miteinander interagieren, außer sie haben den gleichen Domain-Namen.

Eine vertrauensunwürdige oder bösartige Website, die in einem Tab geöffnet ist, hat damit keinen Zugriff auf das E-Mail-Konto, das in einem anderen Tab offen ist. 

Identität kann ausfindig gemacht werden

Die Lücke verletzt diese Same-Origin-Policy und gibt Daten für Webseiten frei, von denen sie nicht stammen.  Eine Website kann dadurch Namen von Datenbanken für jede beliebige Domain sehen und nicht nur für die eigene.

Ist man in einem oder mehreren Google-Konten eingeloggt, können Browserverlauf, aber auch Konto-Details identifiziert werden. Unter anderem können Webseitenbetreiber*innen auch an Profilbilder der Nutzer*innen gelangen. 

Es sind alle Safari-Versionen auf Mac, iPhone und iMac angreifbar. Apple soll über die Sicherheitslücke schon seit Ende November Bescheid wissen – einen Bugfix gab es bislang aber nicht.

Privatmodus könnte Schaden verringern

Wer im Privatmodus surft, könnte den potenziellen Schaden zwar reduzieren, eine Garantie ist das aber nicht. Mac-Nutzer*innen sollten, bis der Bug behoben ist, von Safari auf einen anderen Browser wechseln.