Apple: IndexedDB Safari Bug wird gefixt, Zeitrahmen noch offen

Apple: IndexedDB Safari Bug wird gefixt, Zeitrahmen noch offen – Der Bug, der Nutzerdaten offen legt, ist schon seit November bekannt, aber erst die Veröffentlichung scheint genug Druck gemacht zu haben um Apple dazu zu bewegen sich damit zu beschäftigen. Bei Github gibt es Hinweise, dass Apple an einem Fix arbeitet, allerdings ist offen, ob das ausreicht und wann dieser Fix für die Nutzer zur Verfügung steht.

Bei MacRumors schreibt man zu dieser neuen Entwicklung:

Laut einem WebKit-Commit auf GitHub hat Apple inzwischen eine Fehlerbehebung für den Fehler vorbereitet, aber die Fehlerbehebung wird Benutzern erst dann zur Verfügung stehen, wenn Apple macOS Monterey-, iOS 15- und iPadOS 15-Updates mit einer aktualisierten Version von Safari veröffentlicht. Apple lehnte eine Stellungnahme ab, als er gebeten wurde, einen Zeitrahmen für die Veröffentlichung eines Fixes an die Öffentlichkeit anzugeben.

Aktuell arbeitet Apple also an einer Lösung, es bleibt aber offen, wann diese online gehen wird.

17.02.2021 – Apple: IndexedDB Safari Bug erlaubt das Tracking von Nutzern

Probleme bei der Implementierung der Javascript API IndexDB im Webkit sorgen derzeit im Safari dafür, das Nutzer selbst im Private Mode mitgetrackt werden können. Die Webseite fingerprintjs.com hat dazu die Details veröffentlicht und leider gibt es bisher noch keinen direkten Schutz gegen diese Sicherheitslücke.

Bei Macrumors schreibt man zu dem Bug im Original:

Kurz gesagt, der Fehler ermöglicht es jeder Website, die IndexedDB verwendet, auf die Namen von IndexedDB-Datenbanken zuzugreifen, die von anderen Websites während der Browsersitzung eines Benutzers generiert wurden. Der Fehler könnte es einer Website ermöglichen, andere Websites zu verfolgen, die der Benutzer in verschiedenen Registerkarten oder Fenstern besucht, da die Datenbanknamen oft eindeutig und spezifisch für jede Website sind. Das korrekte und normale Verhalten sollte sein, dass Websites nur auf ihre eigenen IndexedDB-Datenbanken zugreifen können.

In einigen Fällen verwenden Websites eindeutige benutzerspezifische Kennungen in IndexedDB-Datenbanknamen. Beispielsweise erstellt YouTube Datenbanken, die die authentifizierte Google-Benutzer-ID eines Benutzers im Namen enthalten, und diese Kennung kann mit Google-APIs verwendet werden, um laut FingerprintJS persönliche Informationen über den Benutzer abzurufen, z. B. ein Profilbild. Diese persönlichen Informationen könnten einem böswilligen Akteur dabei helfen, die Identität eines Benutzers zu ermitteln.

Wer sich absichern will, sollte alle Javascripte im Browser abschalten und diese nur noch für Seiten zulassen, bei denen man weiß, dass IndexedDB nicht eingesetzt wird. Allerdings sind dann viele Webseiten auch kaum noch nutzbar.

Schreibe einen Kommentar