Apple: IndexedDB Safari Bug wird gefixt, Zeitrahmen noch offen

Apple: IndexedDB Safari Bug wird gefixt, Zeitrahmen noch offen – Der Bug, der Nutzerdaten offen legt, ist schon seit November bekannt, aber erst die Veröffentlichung scheint genug Druck gemacht zu haben um Apple dazu zu bewegen sich damit zu beschäftigen. Bei Github gibt es Hinweise, dass Apple an einem Fix arbeitet, allerdings ist offen, ob das ausreicht und wann dieser Fix für die Nutzer zur Verfügung steht.

Bei MacRumors schreibt man zu dieser neuen Entwicklung:

Laut einem WebKit-Commit auf GitHub hat Apple inzwischen eine Fehlerbehebung für den Fehler vorbereitet, aber die Fehlerbehebung wird Benutzern erst dann zur Verfügung stehen, wenn Apple macOS Monterey-, iOS 15- und iPadOS 15-Updates mit einer aktualisierten Version von Safari veröffentlicht. Apple lehnte eine Stellungnahme ab, als er gebeten wurde, einen Zeitrahmen für die Veröffentlichung eines Fixes an die Öffentlichkeit anzugeben.

Aktuell arbeitet Apple also an einer Lösung, es bleibt aber offen, wann diese online gehen wird.

17.02.2021 – Apple: IndexedDB Safari Bug erlaubt das Tracking von Nutzern

Probleme bei der Implementierung der Javascript API IndexDB im Webkit sorgen derzeit im Safari dafür, das Nutzer selbst im Private Mode mitgetrackt werden können. Die Webseite fingerprintjs.com hat dazu die Details veröffentlicht und leider gibt es bisher noch keinen direkten Schutz gegen diese Sicherheitslücke.

Bei Macrumors schreibt man zu dem Bug im Original:

Kurz gesagt, der Fehler ermöglicht es jeder Website, die IndexedDB verwendet, auf die Namen von IndexedDB-Datenbanken zuzugreifen, die von anderen Websites während der Browsersitzung eines Benutzers generiert wurden. Der Fehler könnte es einer Website ermöglichen, andere Websites zu verfolgen, die der Benutzer in verschiedenen Registerkarten oder Fenstern besucht, da die Datenbanknamen oft eindeutig und spezifisch für jede Website sind. Das korrekte und normale Verhalten sollte sein, dass Websites nur auf ihre eigenen IndexedDB-Datenbanken zugreifen können.

In einigen Fällen verwenden Websites eindeutige benutzerspezifische Kennungen in IndexedDB-Datenbanknamen. Beispielsweise erstellt YouTube Datenbanken, die die authentifizierte Google-Benutzer-ID eines Benutzers im Namen enthalten, und diese Kennung kann mit Google-APIs verwendet werden, um laut FingerprintJS persönliche Informationen über den Benutzer abzurufen, z. B. ein Profilbild. Diese persönlichen Informationen könnten einem böswilligen Akteur dabei helfen, die Identität eines Benutzers zu ermitteln.

Wer sich absichern will, sollte alle Javascripte im Browser abschalten und diese nur noch für Seiten zulassen, bei denen man weiß, dass IndexedDB nicht eingesetzt wird. Allerdings sind dann viele Webseiten auch kaum noch nutzbar.

How IndexedDB in Safari 15 leaks your browsing activity (in real time)

Zuletzt aktualisiert: 19. Januar 2022


Mobilfunk-Newsletter: Einmal pro Woche die neusten Informationen rund um Handy, Smartphones und Deals!


Unser kostenloser Newsletter informiert Sie regelmäßig per E-Mail über Produktneuheiten und Sonderaktionen. Ihre hier eingegebenen Daten werden lediglich zur Personalisierung des Newsletters verwendet und nicht an Dritte weitergegeben. Sie können sich jederzeit aus dem Newsletter heraus abmelden. Durch Absenden der von Ihnen eingegebenen Daten willigen Sie in die Datenverarbeitung ein und bestätigen unsere Datenschutzerklärung.

Immer die aktuellsten Nachrichten direkt im Smartphone.
Unsere Kanäle gibt es kostenlos hier:

Telegram: Appdated Telegram Channel
Facebook: Appdated Facebook Seite
Twitter: Appdated Twitter Channel

Schreibe einen Kommentar