Apple heeft een oplossing voorbereid voor een Safari 15-bug waarmee websites je surfgedrag en Google-accountgegevens kunnen bekijken. De patch is echter pas beschikbaar als het bedrijf nieuwe macOS-, iOS- en iPadOS-updates uitrolt.
Er is momenteel geen woord over wanneer dat zou kunnen zijn. Apple is bezig met het bètatesten van nieuwe software-updates, maar het kan te laat zijn om de fix in die updates te implementeren voordat ze voor iedereen beschikbaar zijn.
Apple lost groot Safari-lek op
Het probleem, dat was voor het eerst ontdekt door FingerprintJS, komt voort uit de manier waarop Safari 15 omgaat met de IndexedDB API. In plaats van uw databases te beschermen, zoals het hoort, worden ze blootgesteld aan bijna elke website.
Uit ons vorige rapport:
IndexedDB gebruikt een zogenaamd "same-origin-beleid" - een beveiligingsmechanisme dat beperkt hoe documenten of scripts die van de ene oorsprong zijn geladen, kunnen interageren met bronnen van een andere oorsprong. Met andere woorden, het beleid van dezelfde oorsprong voorkomt dat de ene website toegang krijgt tot gegevens die door een andere zijn opgeslagen.
In Safari 15 zorgt een bug er echter voor dat het beleid van dezelfde oorsprong niet correct werkt. Dit geeft websites toegang tot de databases die door andere sites zijn gemaakt, zodat ze uw surfgedrag buiten hun muren kunnen bekijken
Apple heeft sindsdien bevestigd via een WebKit-commit op GitHub dat het een oplossing voor dit probleem heeft ontwikkeld. Maar we weten nog niet wanneer deze beschikbaar zal zijn.
Software-updates vereist
Het lijkt erop dat de fix moet worden gedistribueerd via systeemsoftware-updates voor macOS, iOS en iPadOS - in plaats van met een eenvoudige Safari-update. Apple heeft niet bevestigd wanneer dat zal gebeuren. Het test nieuwe software-releases, maar het is onwaarschijnlijk dat deze oplossing tot de volgende versies zal worden geïmplementeerd.
Het enige dat u in de tussentijd kunt doen om het probleem te voorkomen, is door een andere webbrowser te gebruiken. Het uitschakelen van JavaScript kan de hoeveelheid gegevens die wordt gelekt verminderen, maar het is niet helemaal onfeilbaar - en het zal voorkomen dat bepaalde websites correct worden geladen in Safari.
We brengen je op de hoogte zodra we meer weten over de oplossing van Apple. Het is belangrijk om te onthouden dat als u Safari 14 of eerder nog steeds gebruikt, u geen last heeft van dit probleem.