Apple Safari: WebKit-Bug gibt Seiten Zugriff auf den Browserverlauf

Ein schwerwiegender Bug im Safari-Browser sorgt dafür, dass Webseiten Informationen zum Verlauf und weitere Nutzerdaten abgreifen können. Für die Sicherheitslücke ist ein Fehler in einer Datenbank-Schnittstelle verantwortlich. Von dem Bug sind zahlreiche Apple-Geräte betroffen. Der Bug wurde von FingerprintJS entdeckt. Safari legt für jede besuchte Webseite eine Datenbank, auf die ausschließlich die Seite Zugriff haben sollte, an. Ein Fehler in WebKit sorgt jedoch dafür, dass eine Webseite auch die Namen anderer Seiten auslesen kann. Damit können Webseiten den Nutzer tracken und sehen, welche Dienste zuvor aufgerufen wurden. Da Google eine Identifikations-Nummer an den Datenbank-Namen anhängt, können bösartige Seiten auch die Google-ID des Nutzers herausfinden und weitere Details nachschlagen.

Auf YouTube ansehen

Bug betrifft auch weitere iPad-Browser

Der Fehler betrifft Safari 15 auf Mac-Geräten und auch die in iOS 15 sowie iPadOS 15 eingebauten Safari-Versionen. Darüber hinaus lässt sich der Bug auch in den iPad-Builds von Chrome und weiteren Browsern finden, da die Programme auf WebKit angewiesen sind.

Wer eine verwundbare Safari-Version nutzt, kann sich auf dieser Demo-Seite anzeigen lassen, welche Datensätze ausgelesen werden können. Hierbei handelt es sich allerdings nur um ein Proof-of-Concept. Aktuell werden lediglich etwa 30 verschiedene Domainnamen erkannt. Es wäre jedoch denkbar, dass bösartige Seiten deutlich mehr Adressen abfragen.

FingerprintJS hat Apple bereits am 28. November 2021 über das Problem informiert. Bisher haben die zuständigen Entwickler den Bug allerdings nicht behoben. Da der Fehler nun veröffentlicht wurde, wäre es denkbar, dass Apple bald reagiert und einen Patch zur Verfügung stellt. Bislang hat sich das Unternehmen allerdings noch nicht offiziell zu dem Bug geäußert.

Siehe auch: