Apples Web-Browser Safari soll in der Version 15 einen Implementierungsfehler bei der Indexed DB aufweisen. Es handelt sich dabei um eine Schnittstelle, über welche Webseiten browserbasierte Datenbanken erstellen können, um Daten abzulegen und abzurufen. Diese Informationen sind aufgrund der Same-Origin-Policy eigentlich so ausgelegt, dass sie nur von der Domain, mit der die Datenbank erstellt wurde, zugänglich sind. Der Implementationsfehler führt nun allerdings dazu, dass leere Versionen der IndexedDB in anderen Webseiten erstellt werden, die in der selben Browser-Sitzung in anderen Tabs und Fenstern geöffnet werden. Dadurch können die Namen der Datenbanken ausgelesen werden – wodurch die Browser-History nachvollziehbar wird.
Weiterreichende Auswirkungen kann der Bug dann haben, wenn die Webseiten eindeutige Nutzer-IDs hinterlegen. Dies geschieht beispielsweise bei Google-Anwendungen, wo die Datenbanken die jeweiligen Google-IDs verwenden. Diese Informationen können dazu genutzt werden, um auf öffentlich zugängliche Informationen wie das Profilbild der Nutzer zuzugreifen. Zudem ermöglicht es Webseiten, verschiedene Konten eines Users miteinander zu verknüpfen.
Entdeckt wurde der Bug von Fingerprintjs. Das Unternehmen hat
Apple die Schwachstelle bereits im November gemeldet. Aktuell steht allerdings kein Fix dafür bereit. Fingerprintjs rät Nutzern von MacOS deshalb, einen alternativen Browser zu verwenden. Unter iOS gibt es allerdings keinen Work-around, da alle Browser die Safari-Web-Engine verwenden.
(af)
