Eine Sicherheitslücke in Apples Safari-Browser kann dafür sorgen, dass private Daten zum Surfverhalten in Echtzeit ungeschützt Verbreitung finden. Das Problem besteht sowohl in der Mac- wie auch in der iOS-Variante von Safari. Apple arbeitet an einer Lösung.

 
Apple Safari
Facts 
Update vom 19.01., 12:40 Uhr: Apple ist das Problem bekannt und an einer Lösung wird gearbeitet. Bis zu einer Veröffentlichung des Bugfixes dürfte aber noch Zeit vergehen. Apple zufolge soll er für macOS Monterey, iOS 15 und iPadOS 15 in Form einer aktualisierten Version von Safari erscheinen. Einen Zeitplan hat Apple nicht genannt.

Safari: Browser-Aktivität kann abgefangen werden

Sicherheitsforscher haben eine schwerwiegende Lücke im Safari-Browser aufgedeckt. Neben Informationen zum genutzten Google-Account können wohl auch Surf-Aktivitäten auf Webseiten in Echtzeit abgefangen werden. Das Problem tritt bei Safari 15 auf und ist sowohl in der Desktop- wie auch in der mobilen Variante für iPhones und iPads zu finden.

Einem Bericht von FingerprintJS zufolge beruht die Schwachstelle auf einem Problem in Apples Implementierung von IndexedDB, einer Anwendungs-Programmierschnittstelle (API), die Daten im Browser speichert. Eigentlich sollen Webseiten nur auf die von ihnen selbst gespeicherten Daten zugreifen können. Anscheinend ist es bei Safari derzeit aber auch möglich, Daten fremder Webseiten einzusehen, falls diese in einem anderen Tab geöffnet sind. Auch Daten aus zuletzt geschlossenen Tabs lassen sich abfangen (Quelle: FingerprintJS).

Der Fehler besteht darin, dass die Namen aller IndexedDB-Datenbanken bei Safari für jede Webseite verfügbar sind. Der Zugriff auf den tatsächlichen Inhalt jeder Datenbank ist aber eingeschränkt. Die Lösung wäre, dass eine Website nur die Datenbanken sehen kann, die unter demselben Domänennamen wie die eigene erstellt wurden. Über eine Proof-of-Concept-Demo können Safari-Nutzer selbst ausprobieren, welche Daten von populären Diensten wie Netflix, Instagram und YouTube in Gefahr sind.

Aktuelle Tech-News in der Übersicht:

Neue Prozessoren von AMD, Grafikkarten von Nvidia und VR von Sony – GIGA Headlines Abonniere uns
auf YouTube

Schwachstelle bei Safari: Apple weiß schon länger Bescheid

Nach Angaben der Sicherheitsforscher weiß Apple bereit seit dem 28. November 2021 um die Schwachstelle. Eine Lösung des Problems hat Apple bislang nicht vorgestellt. Öffentlich hat sich Apple auch nicht zur Sicherheitslücke geäußert.