ALLGEMEINER BLOG

Sicherheitslücke in Safari 15 gibt Benutzeridentität und Website-Verlauf preis

admin

Eine neu aufgedeckte Schwachstelle im Safari-Webbrowser von Apple Inc. und der zugehörige WebKit-Code können die Identität und den Website-Verlauf eines Benutzers preisgeben.

entdeckt und am 14. Januar von Forschern bei FingerprintJs Inc. detailliert beschrieben, bezieht sich die Schwachstelle auf die Implementierung der IndexedDB-Anwendungsprogrammierschnittstelle in Safari 15. IndexedDB ist eine clientseitige Speicherbrowser-API, die für die Speicherung erheblicher Datenmengen entwickelt wurde und in vielen Browsern zu finden ist.

Die Schwachstelle wurde Apple und dem WebKit Bug Tracker Ende November bekannt gegeben, aber erst heute Morgen, dem 17. Januar, behoben. Die Forscher fügten hinzu, dass der Fehler für Benutzer bestehen bleibt, bis der Patch veröffentlicht wird.

Das Problem mit Safari ist die Art und Weise, wie es von Apple implementiert wurde und gegen die Richtlinie „gleicher Ursprung“ verstößt, die verhindert, dass Dokumente und Skripte an einem Ort mit Inhalten eines anderen interagieren. Infolgedessen kann eine bösartige Website die Kontoinformationen von Google LLC sowie den Verlauf geöffneter Tabs und Fenster finden.

Das Problem wirkt sich nicht auf die Daten in IndexedDB aus, sondern legt die Namen der Datenbanken offen. In einigen Fällen fanden die Forscher Websites, die eindeutige benutzerspezifische Kennungen in Datenbanknamen verwenden. Das bedeutet, dass authentifizierte Benutzer eindeutig und genau identifiziert werden können, mit einigen beliebten Beispielen wie YouTube, Google Kalender und Google Notizen.

„Die Google-Benutzer-ID ist eine interne Kennung, die von Google generiert wird“, erklären die Forscher. „Es identifiziert eindeutig ein einzelnes Google-Konto. Es kann mit Google APIs verwendet werden, um die öffentlichen persönlichen Informationen des Kontoinhabers abzurufen. Die von diesen APIs angezeigten Informationen werden von vielen Faktoren bestimmt. In der Regel ist zumindest das Profilbild des Nutzers vorhanden.“

Sie fügten hinzu, dass dies bedeutet, dass eine nicht vertrauenswürdige oder bösartige Website die Identität eines Benutzers entdecken und mehrere separate Konten verknüpfen kann, die von denselben Benutzern verwendet werden.

FingerprintJS hat eine Demoseite erstellt das zeigt, wie die Identität von Benutzern durchgesickert ist, wenn sie in demselben Browser bei ihrem Google-Konto angemeldet sind. Die Demo erkennt das Vorhandensein von 20 oder mehr Websites in anderen Browser-Tabs oder -Fenstern, einschließlich Google Kalender, Youtube, Twitter und Bloomberg.

Bild: FingerprintJS

Zeigen Sie Ihre Unterstützung für unsere Mission, indem Sie unserer Experten-Community Cube Club und Cube Event beitreten. Treten Sie der Community bei, zu der Andy Jassy, ​​CEO von Amazon Web Services und Amazon.com, Michael Dell, Gründer und CEO von Dell Technologies, Pat Gelsinger, CEO von Intel, und viele weitere Prominente und Experten gehören.

In, , , , , ,

Leave a Reply

Your email address will not be published. Required fields are marked *

Previous post Wie der Ansatz von Snyk zur Anwendungssicherheit Shift-Links-Mängel behebt
Next post Neues iPhone SE und iPad Air erscheinen in Zulassungsdatenbank

More Stories