De Safari 15-browser van Apple bevat een kwetsbaarheid die de internetactiviteit en identiteit van gebruikers kan blootleggen. Dit meldt FingerprintJS, een bedrijf dat software ontwikkelt om online fraude te detecteren, in een blog. FingerprintJS meldde de kwetsbaarheid eind vorig jaar bij Apple.
De bug zit in Safari’s IndexedDB. Dit is een browserprogramma dat bedoeld is voor het opslaan van gegevens. Het programma wordt door alle grote browsers ondersteund en bevat grote hoeveelheden data. Websites gebruiken IndexedDB onder meer om te zien welke pagina’s een bezoeker opent.
De IndexedDB-api hanteert het zogenaamde same-origin-beleid, wat betekent dat er bepaalde voorwaarden en restricties van kracht zijn voor het delen van gegevens. Zo hebben scripts en documenten van een webpagina toegang tot gegevens op een tweede webpagina, maar alleen als de pagina’s van dezelfde bron afkomstig zijn. Dit beleid voorkomt dat websites gevoelige gegevens van andere sites kunnen inzien.
Door de kwetsbaarheid in de implementatie van de IndexedDB-api in Safari 15 kunnen websites aflezen welke andere websites de gebruiker heeft bezocht. Iedere keer als een website met een database verbindt, wordt er namelijk een nieuwe lege database met dezelfde naam gecreëerd in andere tabbladen en vensters in dezelfde browsersessie.
Volgens FingerprintJS is dit een schending van het same-origin beleid. Ook noemt de dienst het feit dat de databasenamen over meerdere bronnen kunnen uitlekken “een duidelijke privacyschending”.
Door de kwetsbaarheid zijn meer persoonlijke gegevens van een gebruiker te achterhalen. FingerprintJS wijst erop dat websites in sommige gevallen gebruikmaken van unieke identifiers in databasenamen. Gebruikers zijn hierdoor heel precies te identificeren. Door de fout kunnen websites bijvoorbeeld de Google User ID van bezoekers die een Google-account gebruiken, aflezen.
Ook YouTube gebruikt een Google User ID. Aan de hand van deze data kan een websitebeheerder toegang krijgen tot gegevens zoals een Google-gebruikersnaam of een profielfoto van de bezoeker. De beheerder kan zo de identiteit van een bezoeker achterhalen en zelfs meerdere, aparte accounts van dezelfde gebruiker aan elkaar koppelen.
Naast Safari 15 op macOS, hebben ook andere browsers op de iPhone en iPad last van de bug. Dit komt doordat Apple ontwikkelaars van andere browsers dwingt om bepaalde software te gebruiken. Het probleem is hierdoor op een laptop of computer te ontwijken middels het gebruik van een andere browser dan Safari. Dit is op een iPhone en iPad helaas dus geen optie.
De enige echte bescherming is volgens FingerprintJS het updaten van je browser of OS als het probleem is opgelost. Het bedrijf gaf de kwetsbaarheid op 28 november vorig jaar door aan Apple. De bug is in de tussentijd nog niet verholpen.
