En nyoppdaget feil i Safari 15 lar ethvert nettsted spore nettleseraktiviteten din og kan til og med avsløre identiteten din hvis du er en Google-bruker.
Problemet stammer fra Apples implementering av IndexedDB, et lagrings-API som støttes bredt av de fleste moderne nettlesere, og det påvirker brukere på Mac så vel som iPhone og iPad. Her er det du trenger å vite.
Safari 15 lekker brukerdata
IndexedDB er et JavaScript API for nettlesere som er designet for å holde store mengder data, inkludert filer. Den brukes av et bredt spekter av nettapper for å lagre data på maskinen din slik at de er raskere å laste og mer responsive.
IndexedDB bruker det som kalles en "same-origin policy" - en sikkerhetsmekanisme som begrenser hvordan dokumenter eller skript lastet fra én opprinnelse kan samhandle med ressurser fra andre opprinnelser. Med andre ord forhindrer policyen for samme opprinnelse på nettstedet fra å få tilgang til data som er lagret av en annen.
Imidlertid, i Safari 15, forhindrer en feil at policyen med samme original fungerer som den skal. Dette gir nettsteder tilgang til databasene opprettet av andre nettsteder, slik at de kan se nettlesingsvanene dine utenfor veggene deres. Dessuten kan feilen til og med lekke identiteten din.
Pass på, Google-brukere
"Vi har dessuten observert at i noen tilfeller bruker nettsteder unike brukerspesifikke identifikatorer i databasenavn," forklarer FingerprintJS, som først oppdaget problemet. "Dette betyr at autentiserte brukere kan identifiseres unikt og presist."
Dette er fordi noen populære Google-nettsteder – inkludert YouTube, Google Kalender og Google Keep – oppretter databaser som inkluderer din autentiserte Google-bruker-ID. Denne IDen er sammenkoblet med én enkelt Google-konto (din), og kan brukes med Google APIer for å hente brukerinformasjon.
"Merk at disse lekkasjene ikke krever noen spesifikk brukerhandling," advarer rapporten. "En fane eller et vindu som kjører i bakgrunnen og kontinuerlig spør etter IndexedDB API for tilgjengelige databaser, kan lære hvilke andre nettsteder en bruker besøker i sanntid."
Privat modus kan ikke hjelpe deg
FingerprintJS sjekket Alexas topp 1000 nettsteder for å se hvor mange som bruker IndexedDB og fant mer enn 30 som samhandler med API direkte på hjemmesiden deres – uten noen spesielle brukerinteraksjoner nødvendig. Så visse nettsteder kan skrape dataene dine, og du ville ikke vite noe om det.
"Vi mistenker at dette tallet er betydelig høyere i virkelige scenarier ettersom nettsteder kan samhandle med databaser på undersider, etter spesifikke brukerhandlinger eller på autentiserte deler av siden."
Dessverre er Safaris private modus også påvirket av feilen. Men fordi privat modus begrenser nettlesingsøktene til en enkelt fane, reduserer den mengden informasjon som er tilgjengelig på flere nettsteder betraktelig.
Se om du er berørt
Du kan finne ut om du er berørt av denne feilen ved å gå til FingerprintJS proof-of-concept-side. Med bare ett klikk viser den deg hva slags data Safari lekker om deg – og alle Google-bruker-ID-ene den kan oppdage. Det er bare en enkel app for demonstrasjonsformål, og den er helt trygg.
FingerprintJS rapporterte dette problemet via WebKit Bug Tracker 28. november 2021. Det er ingen løsning for det ennå. Det er lite du kan gjøre for å beskytte deg selv i Safari 15, annet enn å blokkere JavaScript helt. Dette vil imidlertid forhindre at mange nettsteder fungerer etter hensikten, og det er ikke helt effektivt.
Hvis du er bekymret for dette problemet, er det bedre å bruke en annen nettleser til Apple har lansert en løsning. Og sørg for å installere eventuelle Safari-oppdateringer så snart de er tilgjengelige.