Ein Anbieter von Fingerprinting-Werkzeugen für Betreiber von Webservern hat eine bislang nicht geschlossene Lücke in Apples Safari-Browser entdeckt. Der Bug steckt in Apples Implementierung der IndexedDB-API, mit der Seiten Datenbanken lokal abspeichern können. Offenbar ist es aktuell möglich, dass beliebige Server die bereits vorhandenen IndexedDBs, die in Safari abgelegt sind, zumindest dem Namen nach abzufragen. Dies wiederum erlaubt ein unerwünschtes Nutzertracking, da die Datenbanken auch Hinweise geben, wohin der Nutzer gesurft ist. Unter Umständen ergeben sich aber auch direktere Sicherheitsprobleme je nach Website – etwa jenen von Google. Laut einem Blogposting des Anbieters FingerprintJS betrifft das Problem nicht nur die macOS-Version von Safari, sondern die noch deutlich stärker verbreitete Variante unter iOS (inklusive iPadOS). Dort steckt WebKit, Apples Browser-Engine, in jedem Webwerkzeug, da eigene Engines von Apple nach wie vor verboten sind. Entsprechend könnte das IndexedDB-Problem auch in den Browsern anderer Hersteller wie Google (Chrome) oder Firefox stecken. Das Leaking der Namen können etwa Werbetreibende nutzen, um eine Surfhistorie des Nutzers anzulegen – oder Angreifer, die nähere Details über ihr Opfer erfahren wollen. Die Google-Tochter YouTube legt zudem eine IndexedDB an, deren Name die authentifizierte Google-User-ID enthält. Mit dieser lassen sich wiederum über die Google-API weitere Details zu einem Nutzer abfragen, inklusive eines womöglich hinterlegten Profilbilds. FignerprintJS zufolge steckt der Bug in Safari 15 für Mac sowie allen WebKit-Browsern unter iOS 15 und iPadOS 15 inklusive der jeweils aktuellen Versionen. Für das Leaking hat der Dienstleister auch eine Live-Demonstration bereitgestellt. Diese zeigte bei einem Versuch etwa an, dass man sich auf YouTube, Instagram oder Stitcher aufgehalten hatte. Ältere Browser wie Safari 14 scheinen nicht tangiert zu sein. Bislang scheint es für das Problem keinen Workaround zu geben. Auch die Verwendung des Privatsphärenmodus in Safari ändern nichts am Tracking. Apple kennt den Fehler bereits. Ein entsprechender Problembericht landete bereits Ende November im Bugtracker des WebKit-Projekts. Ob an einem Fix gearbeitet wird, ist unklar.

Quelle: Heise