Skip to content

Schwerer Fehler in Safari gestattet Nutzer-Tracking über Browser-Historie

Geschrieben von Florian Schimanke am

Die auf das Aufspüren von Nutzertracking in Browsern spzialisierten Kollegen von FingerprintJS (via 9to5Mac) haben einen eingermaßen schweren Bug in WebKit, der HTML-Rendering-Engine entdeckt, die Apples Safari-Browser zugrundeliegt. Konkret steckt dieser in der Implementierung einer JavaScript API namens IndexedDB. Zusammengefasst gestattet es der Bug jeder Webseite, die selbst IndexedDB nutzt, auf die Namen von IndexedDB Datenbanken zuzugreifen, die von anderen Webseiten während der Session erzeugt wurden. Hierdurch wäre es prinzipiell jeder dieser Webseiten möglich, die besuchten Webseiten des Nutzers auf dieser Basis zu tracken, da die Namen der Datenbanken in der Regel sehr eindeutig sind. Normalerweise sollte eine Webseite nur auf ihre jeweils eigenen IndexedDB Datenbanken zugreifen können.

Manche Webseiten gehen sogar soweit, dass sich aus den Namen der IndexedDB-Datenbanken auf den jeweiligen Nutzer schließen lässt. Die Namen von YouTube-Datenbanken enthalten beispielsweise die Google ID des Nutzers, über die sich über die Google APIs auch persönliche Informationen anrufen lassen.

Von dem Bug betroffen sind nicht nur Safari für den Mac, iOS und iPadOs, sondern auch Drittanbieter-Browser unter iOS, da diese zwingend ebenfalls auf WebKit aufsetzen müssen. Offenbar sind allerdings nur die WebKit-Implementierungen in den jeweils aktuellsten Versionen von macOS, iOS und iPadOS betroffen. Auch der private Browsermodus schützt hier nicht vor dem Bug. 

Am Mac hat man die Möglichkeit, einen anderen Browser ohne WebKit (z.B. Firefox) zu nutzen. Unter iOS hat man diese Möglichkeit hingegen nicht. Als Nutzer kann man darüber hinaus aktuell nichts aktiv gegen das Problem unternehmen und muss auf ein korrigierendes Update aus Cupertino warten. FingerprintJS hatte den Bug bereits Ende November über den WebKit Bug Tracker gemeldet. Weitere Details lassen sich im zugehörigen Blogpost bei den Kollegen einsehen.

Trackbacks

Keine Trackbacks

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

SOE am :

Zum Glück ist der Bug nur einigermaßen schwerwiegend, also kein Grund am Mac einen anderen Browser zu nutzen.

Dass man den Browser unter iOS bei schwerwiegenden Probleme nicht wechseln kann, ist wohl Teil der Kundensouveränität. Souverän die Fehler erleben.

Das Fehlermanagement von Apple ist noch besser. So gut, dass nach anderthalb Monaten der Forscher den Fehler offiziell meldet. Wahrscheinlich weil Datenschutz doch nicht so wichtig ist.

Oder vielleicht, weil der Bug ein Beweis ist für die Probleme der monopolistischen API unter iOS?

bash am :

Wieso kann man den Browser bei iOS nicht wechseln? Mir fallen auf Anhieb eine ganze Menge alternativer Browser mit den unterschiedlichsten Engines ein.

bjarne am :

mann bash. lie\337 den artikel. wird alles erkl\344rt\u263a\ufe0f

bash am :

Genau, lie\337 den Artikel:
\u201eOffenbar sind allerdings nur die WebKit-Implementierungen in den jeweils aktuellsten Versionen von macOS, iOS und iPadOS betroffen.\u201c
Und jetzt?

Gruml am :

Unter iOS nutzen alle(!) Browser zwangsweise die in iOS eingebaute Web-Engine, denn Apple erlaubt nichts anderes. Und solange der AppStore der einzige Verbreitungsweg für Apps unter iOS ist, hat Apples auch die Macht, diese Regel durchzusetzen.

Mit einigen anderen Browsern hat man maximal die Chance, das Problem etwas zu entschärfen, z.B. wenn man dort die Möglichkeit hat, die betroffenen Datenbanken manuell zu löschen (z.b. in iCab Mobile), aber bequem ist das auch nicht… denn man müsste sich auf ein Tab beschränken und die Datenbanken dann bei jedem Seitenwechsel manuell löschen. Dann könnte man das Tracking wohl tatsächlich verhindern, wenn man das richtig macht, aber es macht dann keinen Spaß mehr.

bash am :

Bugs, Hintert\374ren oder sonstige Vulnerabilities zu suchen oder zu umgehen soll ja auch keinen Spa\337 machen \ud83d\ude00

bjarne am :

mal gucken ob irgendein pressefutzi die eier hat erstmal zu behaupten it's not a bug it's a feature. wobei das nicht zu apples momentanen vorst\366\337en wie dem app tracking abschalten passt. das m\374ssen die schon in ordnung bringen, besser gestern als morgen.

Jumanji am :

Ist doch nicht schlimm - ich hab dich nichts zu verbergen. \ud83d\ude0e\ud83d\ude02\ud83d\ude02\ud83d\ude02

Kommentar schreiben

Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Formular-Optionen