Laut den Forschern von FingerprintJS ermöglicht ein Fehler im Browser Safari 15 jeder Website, die Internetaktivitäten eines Benutzers zu verfolgen und möglicherweise seine Identität preiszugeben.
“Leider,” Das teilte das Unternehmen in einem Beitrag mit, „Es gibt nicht viel, was Safari-, iPadOS- und iOS-Benutzer tun können, um sich zu schützen, ohne drastische Maßnahmen zu ergreifen. Eine Option könnte darin bestehen, JavaScript standardmäßig vollständig zu blockieren und es nur auf vertrauenswürdigen Websites zuzulassen. Dies macht das moderne Surfen im Internet unpraktisch und wahrscheinlich nicht eine gute Passform für alle.
„Darüber hinaus ermöglichen Sicherheitslücken wie Cross-Site-Scripting auch das Targeting über vertrauenswürdige Seiten, obwohl das Risiko viel geringer ist.“ Eine weitere Alternative für Safari-Benutzer auf dem Mac ist der vorübergehende Wechsel zu einem anderen Browser.
Unter iOS und iPadOS ist dies jedoch keine Option, da alle Browser betroffen sind, sodass Benutzer auf diesen Plattformen warten sollten, bis Apple einen Fix veröffentlicht.
Auch der private Modus von Safari 15 ist von dem Leak betroffen, heißt es in dem Bericht. Während Browsersitzungen in privaten Safari-Fenstern auf eine einzige Registerkarte beschränkt sind, wodurch der Umfang der durch das Leck verfügbaren Informationen verringert wird, werden alle Datenbanken, mit denen diese Websites interagieren, allen nachfolgend besuchten Websites offengelegt, wenn ein Benutzer mehrere verschiedene Websites auf derselben Registerkarte besucht . .
Es geht um die Implementierung der IndexedDB-API, die es jeder Website ermöglicht, die Internetaktivitäten eines Benutzers zu verfolgen. IndexedDB ist eine Browser-API für clientseitige Speicherung, die darauf ausgelegt ist, riesige Datenmengen zu speichern, heißt es in dem Bericht. Es wird von allen gängigen Browsern unterstützt und ist sehr verbreitet. Da IndexedDB eine Low-Level-API ist, entscheiden sich viele Entwickler für die Verwendung von Wrappern, die die meisten technischen Details abstrahieren und eine einfacher zu verwendende und entwicklerfreundliche API bieten.
Indizierte DB-Tracker Same-Origin-Policy, ein grundlegender Sicherheitsmechanismus, der begrenzt, wie Dokumente oder Skripte, die von einem Ursprung geladen werden, mit Ressourcen von anderen Ursprüngen interagieren können. Ein Ursprung wird durch das Schema (Protokoll), den Hostnamen (Domäne) und den Port der für den Zugriff verwendeten URL definiert. Indexierte Datenbanken seien einem bestimmten Ursprung zugeordnet, heißt es in dem Bericht. Dokumente oder Skripte, die anderen Ursprüngen zugeordnet sind, sollten niemals die Möglichkeit haben, mit Datenbanken zu interagieren, die anderen Ursprüngen zugeordnet sind.
Den Forschern zufolge verstößt die IndexedDB-API in Safari 15 auf macOS und in allen Browsern auf iOS und iPadOS 15 jedoch gegen die Same-Origin-Richtlinie. Jedes Mal, wenn eine Website mit einer Datenbank interagiert, wird eine neue (leere) Datenbank mit demselben Namen in allen anderen aktiven Frames, Registerkarten und Fenstern innerhalb derselben Browsersitzung erstellt. Fenster und Registerkarten teilen sich im Allgemeinen dieselbe Sitzung, es sei denn, Sie wechseln beispielsweise in Chrome zu einem anderen Profil oder öffnen ein privates Fenster.
„Die Tatsache, dass Datenbanknamen durch unterschiedliche Ursprünge durchsickern, ist ein klarer Verstoß gegen die Privatsphäre“, sagen die Forscher. „Es ermöglicht beliebigen Websites zu erfahren, welche Websites der Benutzer in verschiedenen Registerkarten oder Fenstern besucht. Dies ist möglich, weil Datenbanknamen normalerweise eindeutig und Website-spezifisch sind. Außerdem haben wir beobachtet, dass Websites in einigen Fällen benutzerspezifische eindeutige Kennungen verwenden in Datenbanknamen, was bedeutet, dass authentifizierte Benutzer eindeutig und genau identifiziert werden können.
„Dies bedeutet, dass authentifizierte Benutzer eindeutig und genau identifiziert werden können. Einige beliebte Beispiele wären YouTube, Google Kalender oder Google Keep. Alle diese Websites erstellen Datenbanken, die die authentifizierte Google-Benutzer-ID enthalten, und falls der Benutzer bei mehreren Konten angemeldet ist, werden Datenbanken für alle diese Konten erstellt.