Auteur Topic: Safari 15 lekt persoonlijke gegevens (Mac, iPhone en iPad)  (gelezen 1487 keer)

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1380
  • -Ontvangen: 7963
  • Berichten: 43.941
  • Alleen een PB sturen als hier om gevraag wordt.
    • Truebase
Safari 15 lekt persoonlijke gegevens (Mac, iPhone en iPad)
« Gepost op: 20 januari 2022, 17:18:28 »
IT-beveiligingsbedrijf FingerprintJS meldt dat er een fout zit in versie 15 van de Safari-browser van Apple. Deze fout kan leiden tot het lekken van o.a. Google-privégegevens van gebruikers op de Mac, iPhone en iPad.

FingerprintJS, een Amerikaans IT-beveiligingsbedrijf dat zich specialiseert in browser fingerprinting en online fraude, is een kwetsbaarheid in de laatste versie van Safari op het spoor gekomen. Deze geldt zowel voor Safari 15 op de Mac als voor de browsers onder iOS en iPadOS 15. Uit het onderzoek blijkt dat als gevolg van de bug in Safari persoonlijke gegevens en de browsergeschiedenis van het Google-account van gebruikers gelekt kunnen worden.

De kwetsbaarheid zit specifiek in Safari’s implementatie van IndexedDB in de nieuwste versie van de browser. IndexedDB is een programma dat data verzamelt in de browser en wordt door veel websites gebruikt om bijvoorbeeld te onthouden welke pagina’s een bezoeker bekijkt terwijl hij of zij op de desbetreffende website zit. Uit de blog van FingerprintJS: "Elke keer dat een website interactie heeft met een database, wordt er een nieuwe (lege) database met dezelfde naam aangemaakt in alle andere actieve frames, tabbladen en vensters binnen dezelfde browsersessie." Normaal gesproken houdt dit programma zich aan het “same-origin”-beleid. Dit voorkomt dat andere websites of “bronnen” data van een gebruiker kunnen bekijken. De kwetsbaarheid in Safari 15 zorgt er dus voor dat dit beleid wordt overschreden.
Concreet betekent dit dat wanneer je bijvoorbeeld je Google-webmail of YouTube in één tab open hebt staan, een geopende website in een andere tab in principe toegang heeft tot de database met jouw mailgegevens of YouTube-geschiedenis.

Mobiel kwetsbaarder
Op de Mac-apparaten van Apple zit deze fout alleen in Safari 15 en kun je dus een andere browser gebruiken totdat er een oplossing voor is gevonden. Op iPads en iPhones is het probleem ingewikkelder: op deze apparaten, zo stelt FingerprintJS, zijn alle alternatieve browsers ontwikkeld op basis van dezelfde browser-engine als de voorkeursbrowser Safari. Hierdoor treedt het probleem dus ook op in de mobiele versies van bijvoorbeeld Google Chrome of Firefox.

Bron


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.2-72806-1
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806     RT2600ac  SRM 1.2.5-8227-11
BeeDrive   1TB             BeeServer  BSM 1.1-65374                                                                 MR2200ac  SRM 1.2.5-8227-11

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2667
  • Berichten: 16.537
Re: Safari 15 lekt persoonlijke gegevens (Mac, iPhone en iPad)
« Reactie #1 Gepost op: 20 januari 2022, 17:44:10 »
Op security.nl stond hierover ook al iets.

Citaat
fout zit in versie 15 van de Safari-browser

Ben ik blij dat ik nu op versie 13 aan het werken ben.  ;)

Ter info: Bij MacOS is de Safari versie aan het OS gekoppeld. Je kunt dus geen hogere Safari versie installeren die voor een nieuwer OS bedoeld is. Op die manier hoeft Apple geen ondersteuning van oudere OS-en in te bouwen in hun browser.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline André PE1PQX

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 25
  • -Ontvangen: 162
  • Berichten: 1.353
  • 1st computer rule: GIGO -> Garbage in, Garbage out
    • Mijn Webstee...
Re: Safari 15 lekt persoonlijke gegevens (Mac, iPhone en iPad)
« Reactie #2 Gepost op: 20 januari 2022, 19:04:02 »

Ter info: Bij MacOS is de Safari versie aan het OS gekoppeld. Je kunt dus geen hogere Safari versie installeren die voor een nieuwer OS bedoeld is. Op die manier hoeft Apple geen ondersteuning van oudere OS-en in te bouwen in hun browser.

Vergelijkbaar met Egde en/of Explorer met Windows dus....
"Anyone who sits on top of the largest hydrogen-oxygen fueled system in the world; knowing they're going to light the bottom - and doesn't get a little worried - does not fully understand the situation" - John Young, Astronaut


DS918+ -> 4x 4TB in RAID5 met 4Gbyte RAM extra (DSM7.2, backup systeem voor PC's)
DS218+ -> 2x 8TB met 4Gbyte RAM extra (DSM 7.2, Mailplus server en client + OpenVPN server)
DS220j -> 1x 8TB + 3TB (DSM7.2)
DS214+ -> 2x 6TB (DSM7.1.1)
DS120j -> 1x 6TB (DSM7.2, off-site backup)

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1380
  • -Ontvangen: 7963
  • Berichten: 43.941
  • Alleen een PB sturen als hier om gevraag wordt.
    • Truebase
Re: Safari 15 lekt persoonlijke gegevens (Mac, iPhone en iPad)
« Reactie #3 Gepost op: 27 januari 2022, 14:18:38 »
Probleem opgelost in versie iOS 15.3 en macOS 12.2.


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.2-72806-1
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806     RT2600ac  SRM 1.2.5-8227-11
BeeDrive   1TB             BeeServer  BSM 1.1-65374                                                                 MR2200ac  SRM 1.2.5-8227-11

Offline m4v3r1ck

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 2990
  • -Ontvangen: 316
  • Berichten: 2.623
  • $ sudo -i
Re: Safari 15 lekt persoonlijke gegevens (Mac, iPhone en iPad)
« Reactie #4 Gepost op: 28 januari 2022, 14:24:26 »
Safari Version 14.1.2 (14611.3.10.1.7)  8)
Commander: DS1821+ | DSM 7.2-64570 U3
SightWinder: DS1821+ | DSM 7.2.1-69057 U4 VMM
Wingman:     DS1812+ | DSM 6.2.4-25556 U7
UPS:             APC Back UPS BE850G2-GR (2x)
________________________________________________________________________________
Cheers! - ! I am an advocate of the "if it ain't broke, you didn't fix it enough" modus operandi !

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1380
  • -Ontvangen: 7963
  • Berichten: 43.941
  • Alleen een PB sturen als hier om gevraag wordt.
    • Truebase
Re: Safari 15 lekt persoonlijke gegevens (Mac, iPhone en iPad)
« Reactie #5 Gepost op: 28 januari 2022, 14:33:07 »
Oeps, foutje :|


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.2-72806-1
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806     RT2600ac  SRM 1.2.5-8227-11
BeeDrive   1TB             BeeServer  BSM 1.1-65374                                                                 MR2200ac  SRM 1.2.5-8227-11


 

Inlog probleem DS418Play Safari vs Chrome geforceerd uitschakelen

Gestart door bbebbopBoard NAS hardware vragen

Reacties: 11
Gelezen: 1307
Laatste bericht 14 december 2020, 01:17:58
door macxbo
DS211j opent niet in Safari

Gestart door hansboumanBoard Overige software

Reacties: 1
Gelezen: 1630
Laatste bericht 13 april 2011, 11:50:38
door bmkromm
surveillance speler blijft problemen geven met Mac OS Safari

Gestart door goofy17Board Mac OS X

Reacties: 6
Gelezen: 2347
Laatste bericht 02 april 2013, 14:35:10
door Briolet
Benaderen van DSM via safari thuis/extern lukt niet!

Gestart door BorrieorrietorrieBoard iOS Apps (iPhone, iPad en iPod)

Reacties: 3
Gelezen: 2141
Laatste bericht 31 december 2014, 12:51:52
door Birdy
ServeillancePlugin safari niet te vinden.

Gestart door danigatorBoard Surveillance Station

Reacties: 6
Gelezen: 2152
Laatste bericht 07 januari 2017, 21:33:08
door Birdy