Jan 17: Schwerer Fehler in Safari gestattet Nutzer-Tracking über Browser-Historie

Die auf das Aufspüren von Nutzertracking in Browsern spzialisierten Kollegen von FingerprintJS (via 9to5Mac) haben einen eingermaßen schweren Bug in WebKit, der HTML-Rendering-Engine entdeckt, die Apples Safari-Browser zugrundeliegt. Konkret steckt dieser in der Implementierung einer JavaScript API namens IndexedDB. Zusammengefasst gestattet es der Bug jeder Webseite, die selbst IndexedDB nutzt, auf die Namen von IndexedDB Datenbanken zuzugreifen, die von anderen Webseiten während der Session erzeugt wurden. Hierdurch wäre es prinzipiell jeder dieser Webseiten möglich, die besuchten Webseiten des Nutzers auf dieser Basis zu tracken, da die Namen der Datenbanken in der Regel sehr eindeutig sind. Normalerweise sollte eine Webseite nur auf ihre jeweils eigenen IndexedDB Datenbanken zugreifen können.

Manche Webseiten gehen sogar soweit, dass sich aus den Namen der IndexedDB-Datenbanken auf den jeweiligen Nutzer schließen lässt. Die Namen von YouTube-Datenbanken enthalten beispielsweise die Google ID des Nutzers, über die sich über die Google APIs auch persönliche Informationen anrufen lassen.

Von dem Bug betroffen sind nicht nur Safari für den Mac, iOS und iPadOs, sondern auch Drittanbieter-Browser unter iOS, da diese zwingend ebenfalls auf WebKit aufsetzen müssen. Offenbar sind allerdings nur die WebKit-Implementierungen in den jeweils aktuellsten Versionen von macOS, iOS und iPadOS betroffen. Auch der private Browsermodus schützt hier nicht vor dem Bug. 

Am Mac hat man die Möglichkeit, einen anderen Browser ohne WebKit (z.B. Firefox) zu nutzen. Unter iOS hat man diese Möglichkeit hingegen nicht. Als Nutzer kann man darüber hinaus aktuell nichts aktiv gegen das Problem unternehmen und muss auf ein korrigierendes Update aus Cupertino warten. FingerprintJS hatte den Bug bereits Ende November über den WebKit Bug Tracker gemeldet. Weitere Details lassen sich im zugehörigen Blogpost bei den Kollegen einsehen.

Geschrieben von Florian Schimanke am Montag, 17. Januar 2022 um 07:47 in iOS, Mac
Kommentare: (8) Trackbacks: (0)
Tags für diesen Artikel: , , , , , ,
Artikel mit ähnlichen Themen:

Trackbacks
Trackback-URL für diesen Eintrag

Keine Trackbacks

Kommentare
Ansicht der Kommentare: (Linear | Verschachtelt)

#1 - SOE 17.01.2022 13:19 - (Antwort)

Zum Glück ist der Bug nur einigermaßen schwerwiegend, also kein Grund am Mac einen anderen Browser zu nutzen.

Dass man den Browser unter iOS bei schwerwiegenden Probleme nicht wechseln kann, ist wohl Teil der Kundensouveränität. Souverän die Fehler erleben.

Das Fehlermanagement von Apple ist noch besser. So gut, dass nach anderthalb Monaten der Forscher den Fehler offiziell meldet. Wahrscheinlich weil Datenschutz doch nicht so wichtig ist.

Oder vielleicht, weil der Bug ein Beweis ist für die Probleme der monopolistischen API unter iOS?

#1.1 - bash 17.01.2022 19:57 - (Antwort)

Wieso kann man den Browser bei iOS nicht wechseln? Mir fallen auf Anhieb eine ganze Menge alternativer Browser mit den unterschiedlichsten Engines ein.

#1.1.1 - bjarne 17.01.2022 23:06 - (Antwort)

mann bash. ließ den artikel. wird alles erklärt 😊 😊

#1.1.1.1 - bash 18.01.2022 10:10 - (Antwort)

Genau, ließ den Artikel:
 😊 sind allerdings nur die WebKit-Implementierungen in den jeweils aktuellsten Versionen von macOS, iOS und iPadOS betroffen. 😊
Und jetzt?

#1.1.1.1.1 - Gruml 18.01.2022 10:53 - (Antwort)

Unter iOS nutzen alle(!) Browser zwangsweise die in iOS eingebaute Web-Engine, denn Apple erlaubt nichts anderes. Und solange der AppStore der einzige Verbreitungsweg für Apps unter iOS ist, hat Apples auch die Macht, diese Regel durchzusetzen.

Mit einigen anderen Browsern hat man maximal die Chance, das Problem etwas zu entschärfen, z.B. wenn man dort die Möglichkeit hat, die betroffenen Datenbanken manuell zu löschen (z.b. in iCab Mobile), aber bequem ist das auch nicht… denn man müsste sich auf ein Tab beschränken und die Datenbanken dann bei jedem Seitenwechsel manuell löschen. Dann könnte man das Tracking wohl tatsächlich verhindern, wenn man das richtig macht, aber es macht dann keinen Spaß mehr.

#1.1.1.1.1.1 - bash 19.01.2022 21:05 - (Antwort)

Bugs, Hintertüren oder sonstige Vulnerabilities zu suchen oder zu umgehen soll ja auch keinen Spaß machen  😊 😊

#2 - bjarne 17.01.2022 15:28 - (Antwort)

mal gucken ob irgendein pressefutzi die eier hat erstmal zu behaupten it's not a bug it's a feature. wobei das nicht zu apples momentanen vorst\366ßen wie dem app tracking abschalten passt. das müssen die schon in ordnung bringen, besser gestern als morgen.

#3 - Jumanji sagt:
17.01.2022 17:42 - (Antwort)

Ist doch nicht schlimm - ich hab dich nichts zu verbergen.  😊 😊 😊 😊 😊 😊 😊 😊


Kommentar schreiben

Hinweis:
Bei der Abgabe eines Kommentars auf meinem Blog werden die in das Formular eingetragenen Daten und unter Umständen auch personenbezogene Daten, wie z.B. die IP-Adresse an meinen Webhosting-Provider (1&1), sowie an den Spamblock-Dienstleister Akismet übertragen und dort gespeichert. Als Pflichtfelder werden ausschließlich der Name (auch Pseudonyme möglich) und der Kommentar benötigt. Die optional angegebene E-Mail-Adresse wird nicht öffentlich dargestellt, sondern dient nur für eventuelle Benachrichtigungen bei Folgekommentaren. Alle Daten werden HTTPS-verschlüsselt übertragen. Mit der Nutzung dieses Formulars wird der Datenübertragung zugestimmt. Weitere Einzelheiten und Informationen dazu gibt es in meiner Datenschutzerklärung.

Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.