Door een ernstige Safari-bug kunnen kwaadwillende websites toegang krijgen tot enkele van uw Google-accountgegevens en recente browsegeschiedenis.
Apple brengt zichzelf op de markt als een op privacy gericht bedrijf, maar geen enkel apparaat met internetverbinding is echt veilig. En ondanks zijn beweringen duurt het soms lang voordat het bedrijf de patch meldt exploits. Het laatste rapport benadrukt dat kwaadwillende websites toegang kunnen krijgen tot de Google-accountgegevens van sommige gebruikers en de recente browsegeschiedenis in Safari. De exploit werd in november met Apple gedeeld en is nog steeds niet opgelost.
VingerafdrukJS heeft onthuld deze ernstige Safari-bug in een recente blogpost (via 9to5Mac). Dankzij de IndexedDB-implementatie van Safari op de besturingssystemen van Apple kunnen websites de databasenamen van andere domeinen lezen. Hoewel deze implementatie hen geen toegang geeft tot de daadwerkelijke inhoud van de databases, kunnen de namen zelf veel over een gebruiker onthullen. Google slaat bijvoorbeeld de gegevens van ingelogde accounts op met behulp van de unieke ID's van gebruikers als databasenamen. Hierdoor heeft een website toegang tot nog meer van uw informatie, omdat de Google-gebruikers-ID wordt gebruikt om API-verzoeken voor Google-services te doen. De oplossing voor deze bug zou ervoor zorgen dat websites de databasenamen van andere domeinen niet kunnen bekijken. FingerprintJS legt verder uit:
Houd er rekening mee dat deze lekken geen specifieke actie van de gebruiker vereisen. Een tabblad of venster dat op de achtergrond draait en voortdurend de IndexedDB API doorzoekt naar beschikbare databases, kan in realtime leren welke andere websites een gebruiker bezoekt. Als alternatief kunnen websites elke website in een iframe of pop-upvenster openen om een op IndexedDB gebaseerd lek voor die specifieke site te activeren.
Gezien de ernst van deze bug is het onduidelijk waarom Apple deze nog niet heeft gepatcht. Nu de exploit openbaar wordt gepubliceerd, kunnen we alleen maar hopen dat het bedrijf deze in een aankomende build patcht iOS 15.3. Als u macOS gebruikt, kunt u uzelf in de tussentijd beschermen door over te schakelen naar een andere webbrowser. Helaas worden alle browsers op iOS en iPadOS getroffen, omdat ze gebaseerd zijn op Apple's WebKit.
Welke webbrowser gebruikt u voornamelijk en waarom? Laat het ons weten in de opmerkingen hieronder.