Apple heeft een update ontwikkeld voor een kwetsbaarheid in Safari voor macOS en alle browsers op iOS en iPadOS waardoor privégegevens kunnen lekken. Wanneer de update wordt uitgerold is nog onbekend. Via het beveiligingslek is het mogelijk voor websites om de identiteit van de gebruiker te achterhalen en welke sites hij heeft bezocht. Het probleem wordt veroorzaakt door Apples implementatie van de IndexedDB-API binnen Safari en WebKit.
IndexedDB is een programmeerinterface (API) voor het opslaan van data door de browser in lokale databases op het systeem van de gebruiker. Alle grote browsers ondersteunen deze API. Om te voorkomen dat websites toegang tot de databases van andere websites kunnen krijgen maakt IndexedDB gebruik van de same-origin policy. Apples implementatie van IndexedDB overtreedt de same-origin policy, zo stelt Martin Bajanik van FingerprintJS, een bedrijf dat fingerprintoplossingen voor bedrijven en websites ontwikkelt om gebruikers te identificeren en fraude tegen te gaan.
Elke keer dat een website via IndexedDB de eigen lokale database op het systeem van de gebruiker gebruikt, wordt in alle actieve frames, tabs en vensters binnen dezelfde browser-sessie een nieuwe database met dezelfde naam aangemaakt. Deze databases hebben vaak de naam van de bezochte website. Zo kunnen de andere websites zien welke website de gebruiker op dat moment bezoekt.
In sommige gevallen gebruiken websites unieke gebruikersspecifieke identifiers in de databasenaam. Zo creëert YouTube een database met daarin het geauthenticeerde Google User ID. Het Google User ID is een door Google gegenereerde interne identifier. Via deze identifier is het mogelijk om een Google-account te identificeren. In combinatie met API's van Google is publiek persoonlijke informatie van de accounteigenaar op te vragen.
De onderzoekers keken hoeveel van de duizend populairste websites volgens Alexa gebruikmaken van IndexedDB en zijn te identificeren aan de hand van de gebruikte databasenamen. Het bleek om meer dan dertig websites te gaan. Om de kwetsbaarheid te demonstreren hebben de onderzoekers een demonstratiewebsite ontwikkeld.
Het probleem speelt bij Safari op macOS en alle browsers voor iOS en iPadOS. In het geval van macOS kunnen gebruikers een andere browser gebruiken. In het geval van iOS en iPadOS zijn alle browsers verplicht om gebruik te maken van WebKit, de door Apple ontwikkelde browser-engine. Bajanik liet gisterenavond weten dat Apple een update voor WebKit heeft ontwikkeld om het probleem te verhelpen. Het is echter onbekend wanneer die wordt uitgerold.
Deze posting is gelocked. Reageren is niet meer mogelijk.