Bug im Safari Browser erlaubt Websites die letzten Surfaktivitäten in Echtzeit zu tracken
In der WebKit-Implementierung einer JavaScript-API mit der Bezeichnung IndexedDB besteht ein Bug, was Websites ermöglicht die letzten Surfaktivitäten im Safari Browser in Echtzeit zu verfolgen.
Der Browserverlauf und die Identität des Nutzers kann dadurch enthüllt werden.
Was bewirkt der Safari Bug?
Der Bug versetzt Websites, die IndexedDB verwenden, dazu in der Lage, auf die Namen in den IndexedDB-Datenbanken zuzugreifen, die andere Internetpräsenzen während der Browsersitzung eines Anwenders erzeugten, berichtete FingerprintJS. Der Fehler könnte es einer Website ermöglichen, andere Webseiten zu tracken, die der User in verschiedenen Registerkarten oder Fenstern besucht, weil die Datenbanknamen häufig klar und spezifisch für jede Website sind.
Normalerweise sollen Websites nur auf ihre eigenen IndexedDB-Datenbanken einen Zugriff erhalten. Manche Webseiten nutzen eindeutige benutzerspezifische Kennungen in den Datenbanknamen. Zum Beispiel erstellt Youtube Datenbanken, welche die authentifizierte Google Benutzer-ID eines Users im Namen aufweisen und diese Kennung kann mit Google-APIs zum Abruf persönlicher Informationen wie dem Profilbild genutzt werden.
Betroffene Browser-Versionen
Von dem Fehler sind neuere Versionen von Browsern betroffen, die Apples Open-Source Browser-Engine WebKit nutzen und dazu gehört auch Safari 15 für den Mac. Es betrifft außerdem alle Versionen von iOS 15 und iPadOS 15, ebenso seien Browser von Drittanbietern wie Chrome auf iOS und iPadOS 15 betroffen.
Apple schreibt den Einsatz von WebKit für alle Browser vor, die auf dem iPhone oder iPad laufen. Ältere Browser wie Safari 14 für den Mac sind nicht von dem Bug betroffen. Laut FingerprintJS sei für einen Zugriff durch Websites auf die IndexedDB-Datenbanknamen keine Benutzeraktion erforderlich.
Das gravierende Problem mit dem Bug beschreibt FingerprintJS ausführlich in seinem Beitrag und ist online abrufbar.
