Anfang der Woche kam ein Bericht auf, wonach es einen Bug in WebKit, der HTML-Rendering-Engine, die unter anderem Apples Safari-Browser zugrundeliegt, gibt, der es jeder Webseite ermöglichen kann, die besuchten Webseiten und teilweise auch persönliche Informationen des Nutzers zu tracken. Die Entdecker hatten den Bug bereits Ende November über den WebKit Bug Tracker gemeldet. Erst durch das nun entstandene öffentliche Interesse an dem Thema scheint aber Bewegung in die Sache zu kommen. So hat Apple offenbar einen Fix für das Problem in Arbeit, wie aus einem WebKit-Commit auf GitHub hervorgeht. Allerdigns bedarf es erst eines Updates von Safari unter macOS Monterey, sowie von iOS 15 und iPadOS 15, ehe Nutzer vor dem Problem geschützt sind. Einen Zeitrahmen für dieses Update gab Apple nicht an.
Die auf das Aufspüren von Nutzertracking in Browsern spzialisierten Kollegen von FingerprintJS (via 9to5Mac) haben einen eingermaßen schweren Bug in WebKit, der HTML-Rendering-Engine entdeckt, die Apples Safari-Browser zugrundeliegt. Konkret steckt dieser in der Implementierung einer JavaScript API namens IndexedDB. Zusammengefasst gestattet es der Bug jeder Webseite, die selbst IndexedDB nutzt, auf die Namen von IndexedDB Datenbanken zuzugreifen, die von anderen Webseiten während der Session erzeugt wurden. Hierdurch wäre es prinzipiell jeder dieser Webseiten möglich, die besuchten Webseiten des Nutzers auf dieser Basis zu tracken, da die Namen der Datenbanken in der Regel sehr eindeutig sind. Normalerweise sollte eine Webseite nur auf ihre jeweils eigenen IndexedDB Datenbanken zugreifen können.
Manche Webseiten gehen sogar soweit, dass sich aus den Namen der IndexedDB-Datenbanken auf den jeweiligen Nutzer schließen lässt. Die Namen von YouTube-Datenbanken enthalten beispielsweise die Google ID des Nutzers, über die sich über die Google APIs auch persönliche Informationen anrufen lassen.
Von dem Bug betroffen sind nicht nur Safari für den Mac, iOS und iPadOs, sondern auch Drittanbieter-Browser unter iOS, da diese zwingend ebenfalls auf WebKit aufsetzen müssen. Offenbar sind allerdings nur die WebKit-Implementierungen in den jeweils aktuellsten Versionen von macOS, iOS und iPadOS betroffen. Auch der private Browsermodus schützt hier nicht vor dem Bug.
Am Mac hat man die Möglichkeit, einen anderen Browser ohne WebKit (z.B. Firefox) zu nutzen. Unter iOS hat man diese Möglichkeit hingegen nicht. Als Nutzer kann man darüber hinaus aktuell nichts aktiv gegen das Problem unternehmen und muss auf ein korrigierendes Update aus Cupertino warten. FingerprintJS hatte den Bug bereits Ende November über den WebKit Bug Tracker gemeldet. Weitere Details lassen sich im zugehörigen Blogpost bei den Kollegen einsehen.
Immer wieder gelangen Links zu manipulierten Webseiten in Umlauf, die beim Anklicken dazu führen, dass die iPhones und iPads dieser Welt hierdurch zum Absturz bzw. einem Neustart gebracht werden. Und so ist es auch aktuell wieder, mit dem Unterschied, dass der aktuelle Webcode von dem Sicherheitsforscher @pwnsdx via Twitter in Umlauf gebracht wurde. Ungewöhnlich ist dabei allerdings, dass das aktuelle Beispiel lediglich einen gewöhnlichen HTML-Schnipsel mit zugehörigem CSS benötigt, um auf dem aufrufenden Geräte eine komplette Kernelpanik auszulösen. Betroffen sind sämtliche Geräte, die mindestens iOS 7 unterstützen. Durch den Aufruf wird der WebKit-Renderer dermaßen überlastet, dass dies zu einer Kernelpanik im Prozessor führt.
Der Quellcode für die entsprechende Webseite kann hier eingesehen werden. Möchte man die Auswirkungen selbst ausprobieren, kann man auch den auf der verlinkten Seite zu findenden Demolink ausprobieren. Alleridngs sei davor gewarnt, dass eine Kernelpanik keinesfalls harmlos sein muss. Bestätigt ist inzwischen, dass Geräte unter iOS 11 und iOS 12 betroffen sind, man kann also von einem eigenen Test absehen. Teilweise sind auch Desktop-Browser von dem Fehler betroffen. Möchte man nicht in die Kernelpanik laufen, gilt nach wie vor die Warnung vor dem Anklicken unbekannter Links. Apple dürfte den Fehler mit einem der kommenden iOS-Updates aus der Welt räumen.
Auch wenn sich die großen Betriebssystemupdates in diesem Jahr gerüchtehalber vor allem um Stabilitäts- und Leistungsverbesserungen kümmern sollen, werden iOS 12 und macOS 10.14 natürlich auch verschiedene neue Funktionen enthalten. Auf dem Mac könnte dabei eventuell ein schon länger erhoffter Dark-Mode Einzug halten. Hierauf deuten zumindest Code-Funde hin, die Guilherme Rambo im WebKit-Quellcode gemacht hat. Dies ist bereits jetzt möglich, da WebKit unter der Open Source Lizenz steht. Im März hinzugefügte Codezeilen deuten den Dark-Mode in 10.14 nun an. Hiermit sollen sich Webseiten auf dieselbe Weise dunkel rendern lassen, wie auch UI-Komponenten und Buttons im Rest des Systems. Allerdings gibt existiert eine Dark-Mode Option bereits seit macOS El Capitan, ohne das Apple sie bislang wirklich umgesetzt hätte. Die Neuerungen in WebKit könnten allerdings darauf hindeuten, dass es in diesem Jahr soweit ist.
Und auch in Sachen iOS 12 hält das quellcodeoffene iOS 12 einen interessanten Hinweis bereit. Demnach wird das neue System offenbar auch nach wie vor das iPhone 5s unterstützen. Damit würde das Gerät ein Jahr länger vom neuesten iOS untestützt werden als sein Vorgänger: Das iPhone 5 wurde nicht mehr von iOS 11 unterstützt. Generell setzte Apple in der Vergangenheit auf fünf Jahre neue iOS-Updates für iPhones. Bei iOS 12 und dem iPhone 5s wäre dies nun ein Jahr länger. Allerdings sollte bedacht werden, dass vermutlich nur ein Teil der darin enthaltenen Neuerungen dann auch auf dem alten iPhone unterstützt werden. (via 9to5Mac)