Laut Forschern von FingerprintJS ermöglicht ein Fehler im Browser Safari 15 jeder Website, die Internetaktivitäten eines Benutzers zu verfolgen und möglicherweise seine Identität preiszugeben.
“Bedauerlicherweise,” das im Beitrag genannte Unternehmen„Safari-, iPadOS- und iOS-Benutzer können nicht viel tun, um sich zu schützen, ohne drastische Maßnahmen zu ergreifen. Eine Option besteht darin, JavaScript standardmäßig zu blockieren und es nur auf vertrauenswürdigen Websites zuzulassen. Dies macht das moderne Surfen im Internet unbequem und wahrscheinlich keine gute Lösung für alle.
„Darüber hinaus ermöglichen Schwachstellen wie Cross-Site-Scripting auch ein Targeting über vertrauenswürdige Seiten, obwohl das Risiko viel geringer ist. Eine weitere Alternative für Safari-Benutzer auf Macs ist der vorübergehende Wechsel zu einem anderen Browser.
Unter iOS und iPadOS ist dies jedoch nicht möglich, da alle Browser betroffen sind, sodass Benutzer auf diesen Plattformen warten müssen, bis Apple den Fix veröffentlicht.
Auch der private Modus in Safari 15 sei von dem Leak betroffen, heißt es in dem Bericht. Während Browsersitzungen in privaten Safari-Fenstern auf eine einzige Registerkarte beschränkt sind, was die Menge an Informationen reduziert, die durch ein Leck verfügbar sind, wenn ein Benutzer mehrere verschiedene Websites auf derselben Registerkarte besucht, werden alle Datenbanken, mit denen diese Websites interagieren, auf alle anschließend besuchten Websites übertragen. .
Das Problem ist die Implementierung der IndexedDB-API, die es jeder Website ermöglicht, die Internetaktivitäten eines Benutzers zu überwachen. IndexedDB ist eine browserbasierte API für die clientseitige Speicherung, die entwickelt wurde, um erhebliche Datenmengen zu speichern, heißt es in dem Bericht. Es wird von allen gängigen Browsern unterstützt und sehr häufig verwendet. Da IndexedDB eine Low-Level-API ist, haben sich viele Entwickler für die Verwendung von Wrappern entschieden, die die meisten technischen Probleme abstrahieren und eine einfacher zu verwendende und entwicklerfreundliche API bereitstellen.
IndexedDB-Tracking Policen gleichen Ursprungs, ein grundlegender Sicherheitsmechanismus, der einschränkt, wie aus einer Quelle abgerufene Dokumente oder Skripts mit Ressourcen aus anderen Quellen interagieren können. Der Ursprung wird durch das Schema (Protokoll), den Hostnamen (Domäne) und den Port der für den Zugriff verwendeten URL definiert. Indexierte Datenbanken seien mit einem bestimmten Ursprung verknüpft, heißt es in dem Bericht. Dokumente oder Skripte, die anderen Ursprüngen zugeordnet sind, sollten niemals in der Lage sein, mit Datenbanken zu interagieren, die anderen Ursprüngen zugeordnet sind.
Die Forscher sagen jedoch, dass in Safari 15 auf macOS und in allen Browsern auf iOS und iPadOS 15 die IndexedDB-API gegen die Same-Origin-Policy verstößt. Jedes Mal, wenn eine Website mit einer Datenbank interagiert, wird eine neue (leere) Datenbank mit demselben Namen in allen anderen aktiven Frames, Registerkarten und Fenstern innerhalb derselben Browsersitzung erstellt. Fenster und Registerkarten teilen sich normalerweise dieselbe Sitzung, es sei denn, Sie wechseln beispielsweise in Chrome zu einem anderen Profil oder öffnen ein privates Fenster.
„Die Tatsache, dass Datenbanknamen aus verschiedenen Quellen preisgegeben werden, ist eine klare Verletzung der Privatsphäre“, sagten die Forscher. “Es ermöglicht jeder Website zu sehen, welche Websites ein Benutzer auf verschiedenen Registerkarten oder Fenstern besucht. Dies ist möglich, da Datenbanknamen normalerweise eindeutig und standortspezifisch sind. Darüber hinaus haben wir festgestellt, dass Websites in einigen Fällen eindeutige benutzerspezifische Kennungen in Datenbanknamen verwenden. Dies bedeutet, dass authentifizierte Benutzer eindeutig und genau identifiziert werden können.
„Das bedeutet, dass authentifizierte Benutzer eindeutig und genau identifiziert werden können. Beliebte Beispiele sind YouTube, Google Kalender oder Google Notizen. Alle diese Websites erstellen Datenbanken, die eine verifizierte Google-Benutzer-ID enthalten, und wenn ein Benutzer bei mehreren Konten angemeldet ist, werden die Datenbanken für alle diese Konten erstellt.