Dein wichtigster Touchpoint zur Digitalbranche.
Dein wichtigster Touchpoint zur Digitalbranche.
Technologie
Sicherheitslücke: Safari Bug leakt Browser-Verlauf und User IDs

Sicherheitslücke: Safari Bug leakt Browser-Verlauf und User IDs

Caroline Immer | 17.01.22

Schlechte Nachrichten für Safari User: Ein Bug bringt den Schutz des Browser-Verlaufs in Gefahr. Den Ursprung des Problems und Wege, dich zu schützen, verraten wir dir im Artikel.

Eine Sicherheitslücke, die Safari 15 betrifft, sorgt dafür, dass wertvolle User-Daten wie der Browser-Verlauf oder die Google ID geleakt werden können. Wie FingerprintJS, ein Dienst für Browser-Fingerprinting, berichtet, sind mindestens 30 Seiten, darunter Instagram, Netflix und Twitter, von dem Bug betroffen – die tatsächliche Zahl dürfte deutlich höher liegen.

Verletzung der Same-Origin-Policy

Das Problem liegt in der Ausführung der Indexed Database API, kurz IndexedDB, durch Safari 15. Die Programmierschnittschnelle ist dafür konzipiert, große Mengen an Daten zu speichern und folgt dabei der Same-Origin-Policy. Diese besagt, dass Dokumente und Skripte eines Ursprungs nicht mit Daten eines anderen Ursprungs interagieren können. Im Falle der IndexedDB-Implementierung von Safari 15 für MacOS sowie in allen Browsern für iOS und iPadOS 15 wird diese Richtlinie jedoch verletzt.

Sobald eine Website mit einer Database interagiert, wird eine neue Database in allen anderen aktiven Frames, Tabs und Fenstern derselben Browser Session kreiert. Hierdurch können, möglicherweise bösartige, Websites auf die Web-Aktivität der User zugreifen. Im Falle von Seiten, die über den Google Account der User laufen, also zum Beispiel YouTube und Google Calendar, wird sogar die User ID kenntlich – ein schwerwiegendes Sicherheitsproblem.


So kannst du dich schützen

Zum gegenwärtigen Zeitpunkt gibt es leider keine zufriedenstellende Möglichkeit, die Sicherheitslücke zu umgehen. Das Surfen im Privatmodus ist keine Lösung, da auch dieser von dem Bug betroffen ist. Eine potentiell effektive, aber umständliche Option ist die standardmäßige Deaktivierung von JavaScript, was aus Gründen der Benutzer:innenfreundlichkeit nicht zu empfehlen ist.

MacOS-User können einen Third-Party-Browser nutzen, um das Problem zu umgehen. Im Falle von iOS sind jedoch alle nutzbaren Browser betroffen. Ein Kommentar von Apple und ein dringend notwendiges Safari Update stehen bislang aus, es heißt also: abwarten.

Kommentare aus der Community

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*
*