Safari: WebKit-Bug erlaubt anderen Webseiten, euch beim Surfen zu verfolgen

Wo Software geschrieben wird, passieren auch Fehler. In diesem Fall ist dieser dem Entwickler-Team des Safari-Browsers unterlaufen, denn bei FingerprintJS ist man auf einen Bug gestoßen, der anderen Webseiten erlaubt, euch beim Surfen im Internet zu verfolgen.

Konkret ist der Fehler bei der Integration der API für die sogenannte IndexedDB aufgetreten. Eben jene Datenbank wird von Webseiten angelegt, um Inhalte auf eurem Client zu lagern. Jede Webseite hat seine eigene IndexedDB und normalerweise sollte jede Seite nur Zugriff auf die eigene Datenbank haben. In diesem Fall ist es jedoch so, dass der Fehler in WebKit erlaubt, dass eine Webseite auch den Namen anderer Webseiten auslesen kann. Schaut man sich das Beispiel aus dem Video an, kann eine bösartige Seite also sehen, wenn ihr auf YouTube surft und auch euren Google-Identifier herausbekommen, da Google eben jenen an den Datenbanknamen hängt. Mit dem Identifier könnte man das Avatar-Foto auslesen und dann im Web nach weiteren Details zu eurer Person suchen etc.

Der Bug betrifft Safari 15 auf dem Mac und auch das Release des Browsers in iOS 15 und iPadOS 15. Auch Chrome und Co. auf dem iPad sind betroffen, da diese WebKit nutzen müssen. Bei FingerprintJS findet ihr auch eine Demo dazu. Die Demo veranschaulicht, wie jede Website über dieses Leck die jüngsten und aktuellen Browseraktivitäten eines Besuchers (in verschiedenen Tabs oder Fenstern besuchte Websites) erfahren kann. Für Besucher, die bei Google-Diensten angemeldet sind, kann diese Demo auch Google-Nutzer-IDs und Profilbilder ausspähen.

Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf ge­lan­gt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir ei­ne kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Hauptberuflich im SAP-Geschäft tätig und treibt gerne Menschen an. Behauptet von sich den Spagat zwischen Familie, Arbeit und dem Interesse für Gadgets und Co. zu meistern. Hat ein Faible für Technik im Allgemeinen. Auch zu finden bei Twitter, Instagram, XING und Linkedin, oder via Mail

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

4 Kommentare

  1. Immer toll solche Dinge zu lesen, bevor Apple einen Bugfix nachschiebt. Ich meine, damit sind sie ja auch nie die schnellsten, also keinen Vorwurf, aber WTF?! Sobald das bekannt ist, sollte das Update dann zumindest bereitstehen oder eine Meldung rausgegeben werden, dass es zeitnah kommt.

    • Gemäss der verlinkten Quelle wurde der Bug bereits am 28. November 2021 gemeldet…
      „The leak was reported to the WebKit Bug Tracker on November 28, 2021 as bug 233548.“

  2. Fingerprinting ist auch ohne Bug ein riesen Privacy-Problem. Daher nur Firefox mit dem Addon „Privacy Badger“, „uBlock Origin“ und „Decentraleyes“ und „Do Not Track“ und „Strikt Mode“ aktiviert.
    Da kann man zwar auch noch mit Fingerprinting manche Informationen ohne Wissen des Nutzers abgreifen, aber es wird den Servern die das tun extrem schwer gemacht.

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor. In jedes Thema Politik einbringen ist nicht erwünscht.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.