Der Safari 15-Fehler kann Ihre letzten Browseraktivitäten und persönlichen Kennungen preisgeben

Ein Fehler in Safari 15 kann Ihre Browsing-Aktivitäten durchsickern lassen und auch einige der mit Ihrem Google-Konto verknüpften persönlichen Informationen preisgeben, so die Ergebnisse von FingerprintJS, einem Browser-Fingerabdruck- und Betrugserkennungsdienst (über 9to5Mac). Die Schwachstelle ergibt sich aus einem Problem mit Apples Implementierung von IndexedDB, einer Anwendungsprogrammierschnittstelle (API), die Daten in Ihrem Browser speichert.

Wie von FingerprintJS erklärt, hält sich IndexedDB an die Same-Origin-Policy, die einen Ursprung daran hindert, mit Daten zu interagieren, die auf anderen Ursprüngen gesammelt wurden – im Wesentlichen kann nur die Website, die Daten generiert, darauf zugreifen. Wenn Sie beispielsweise Ihr E-Mail-Konto auf einer Registerkarte öffnen und dann eine bösartige Webseite auf einer anderen öffnen, verhindert die Same-Origin-Richtlinie, dass die bösartige Seite Ihre E-Mails anzeigt und sich in sie einmischt.

ES GIBT NICHT VIEL, DASS SIE TUN KÖNNEN, UM DAS PROBLEM ZU UMFAHREN
FingerprintJS stellte fest, dass Apples Anwendung der IndexedDB-API in Safari 15 tatsächlich gegen die Same-Origin-Richtlinie verstößt. Wenn eine Website mit einer Datenbank in Safari interagiert, sagt FingerprintJS, dass „eine neue (leere) Datenbank mit demselben Namen in allen anderen aktiven Frames, Registerkarten und Fenstern innerhalb derselben Browsersitzung erstellt wird“.

Dies bedeutet, dass andere Websites den Namen anderer Datenbanken sehen können, die auf anderen Websites erstellt wurden und Details zu Ihrer Identität enthalten können. FingerprintJS stellt fest, dass Websites, die Ihr Google-Konto verwenden, wie YouTube, Google Kalender und Google Keep, alle Datenbanken mit Ihrer eindeutigen Google-Benutzer-ID im Namen generieren. Ihre Google-Benutzer-ID ermöglicht Google den Zugriff auf Ihre öffentlich zugänglichen Informationen, z. B. Ihr Profilbild, das der Safari-Bug anderen Websites zugänglich machen kann.

Leave a Reply

Your email address will not be published.