Een nieuw ontdekte bug in Safari 15 stelt elke website in staat uw browse-activiteit te volgen en kan zelfs uw identiteit onthullen als u een Google-gebruiker bent.
Het probleem komt voort uit Apple's implementatie van IndexedDB, een opslag-API die breed wordt ondersteund door de meeste moderne browsers, en het treft zowel gebruikers op Mac als iPhone en iPad. Dit is wat u moet weten.
Safari 15 lekt gebruikersgegevens
IndexedDB is een JavaScript-API voor webbrowsers die is ontworpen om grote hoeveelheden gegevens, inclusief bestanden, vast te houden. Het wordt gebruikt door een breed scala aan web-apps om gegevens op uw computer op te slaan, zodat ze sneller kunnen worden geladen en beter reageren.
IndexedDB gebruikt een zogenaamd "same-origin-beleid" - een beveiligingsmechanisme dat beperkt hoe documenten of scrips die van de ene oorsprong zijn geladen, kunnen interageren met bronnen van andere oorsprong. Met andere woorden, het beleid van dezelfde oorsprong voorkomt dat de website toegang krijgt tot gegevens die door een ander zijn opgeslagen.
Echter, in Safari 15, een bug verhindert dat hetzelfde oorspronkelijke beleid correct werkt. Dit geeft websites toegang tot de databases die door andere sites zijn gemaakt, waardoor ze uw surfgedrag buiten hun muren kunnen bekijken. Bovendien kan de bug zelfs je identiteit lekken.
Pas op, Google-gebruikers
"Bovendien hebben we vastgesteld dat websites in sommige gevallen unieke gebruikersspecifieke identifiers gebruiken in databasenamen", legt FingerprintJS uit, die het probleem voor het eerst ontdekte. "Dit betekent dat geverifieerde gebruikers uniek en nauwkeurig kunnen worden geïdentificeerd."
Dit komt omdat sommige populaire Google-sites, waaronder YouTube, Google Agenda en Google Keep, databases maken die uw geverifieerde Google-gebruikers-ID bevatten. Deze ID is gekoppeld aan een enkel Google-account (de jouwe) en kan worden gebruikt met Google API's om gebruikersinformatie op te halen.
"Merk op dat deze lekken geen specifieke gebruikersactie vereisen", waarschuwt het rapport. "Een tabblad of venster dat op de achtergrond draait en voortdurend de IndexedDB API doorzoekt naar beschikbare databases, kan in realtime leren welke andere websites een gebruiker bezoekt."
Privémodus kan je niet helpen
FingerprintJS controleerde Alexa's top 1.000 websites om te zien hoeveel IndexedDB gebruiken en vond meer dan 30 die rechtstreeks op hun startpagina met de API communiceren - zonder speciale gebruikersinteracties vereist. Dus bepaalde sites kunnen uw gegevens schrapen en u zou er niets van weten.
"We vermoeden dat dit aantal aanzienlijk hoger is in realistische scenario's, omdat websites kunnen communiceren met databases op subpagina's, na specifieke gebruikersacties of op geverifieerde delen van de pagina."
Helaas wordt de privémodus van Safari ook beïnvloed door de bug. Omdat de privémodus echter browsesessies beperkt tot één tabblad, wordt de hoeveelheid informatie die beschikbaar is op meerdere sites aanzienlijk verminderd.
Kijk of je getroffen bent
U kunt erachter komen of u last heeft van deze bug door naar FingerprintJS te gaan. proof-of-concept pagina. Met slechts één klik laat het u zien wat voor soort gegevens Safari over u lekt - en alle Google-gebruikers-ID's die het kan detecteren. Het is gewoon een eenvoudige app voor demonstratiedoeleinden en het is volkomen veilig.
FingerprintJS heeft dit probleem gemeld via de WebKit Bug Tracker op 28 november 2021. Er is nog geen fix voor. Er is ook weinig dat u kunt doen om uzelf in Safari 15 te beschermen, behalve het volledig blokkeren van JavaScript. Dit zal echter voorkomen dat veel websites werken zoals bedoeld en het is niet helemaal effectief.
Als u zich zorgen maakt over dit probleem, kunt u beter een andere webbrowser gebruiken totdat Apple een oplossing heeft uitgerold. En zorg ervoor dat u Safari-updates installeert zodra ze beschikbaar zijn.