IT-beveiligingsbedrijf FingerprintJS meldt dat er een fout zit in versie 15 van de Safari-browser van Apple. Deze fout kan leiden tot het lekken van o.a. Google-privégegevens van gebruikers op de Mac, iPhone en iPad.
FingerprintJS, een Amerikaans IT-beveiligingsbedrijf dat zich specialiseert in browser fingerprinting en online fraude, is een kwetsbaarheid in de laatste versie van Safari op het spoor gekomen. Deze geldt zowel voor Safari 15 op de Mac als voor de browsers onder iOS en iPadOS 15. Uit het onderzoek blijkt dat als gevolg van de bug in Safari persoonlijke gegevens en de browsergeschiedenis van het Google-account van gebruikers gelekt kunnen worden.
De kwetsbaarheid zit specifiek in Safari’s implementatie van IndexedDB in de nieuwste versie van de browser. IndexedDB is een programma dat data verzamelt in de browser en wordt door veel websites gebruikt om bijvoorbeeld te onthouden welke pagina’s een bezoeker bekijkt terwijl hij of zij op de desbetreffende website zit. Uit de blog van FingerprintJS: "Elke keer dat een website interactie heeft met een database, wordt er een nieuwe (lege) database met dezelfde naam aangemaakt in alle andere actieve frames, tabbladen en vensters binnen dezelfde browsersessie." Normaal gesproken houdt dit programma zich aan het “same-origin”-beleid. Dit voorkomt dat andere websites of “bronnen” data van een gebruiker kunnen bekijken. De kwetsbaarheid in Safari 15 zorgt er dus voor dat dit beleid wordt overschreden.
Concreet betekent dit dat wanneer je bijvoorbeeld je Google-webmail of YouTube in één tab open hebt staan, een geopende website in een andere tab in principe toegang heeft tot de database met jouw mailgegevens of YouTube-geschiedenis.
Mobiel kwetsbaarderOp de Mac-apparaten van Apple zit deze fout alleen in Safari 15 en kun je dus een andere browser gebruiken totdat er een oplossing voor is gevonden. Op iPads en iPhones is het probleem ingewikkelder: op deze apparaten, zo stelt FingerprintJS, zijn alle alternatieve browsers ontwikkeld op basis van dezelfde browser-engine als de voorkeursbrowser Safari. Hierdoor treedt het probleem dus ook op in de mobiele versies van bijvoorbeeld Google Chrome of Firefox.
Bron