Home » Betriebssystem » Safari-Lücke: Webseiten können Verlauf und Google-Kontodetails abgreifen

Safari-Lücke: Webseiten können Verlauf und Google-Kontodetails abgreifen

Safari am Mac - Symbolbild

Safari auf iPhone und Mac ist noch immer von einer potenziell sehr unangenehmen Sicherheitslücke betroffen. Hierbei können Webseiten persönliche Informationen des Nutzers abgreifen, wenn dieser bei einem Google-Dienst mit seinem Google-Konto angemeldet ist. Dazu zählen unter anderem auch die besuchten Webseiten. Apple ist schon lange über dieses Problem informiert, bis jetzt aber untätig geblieben.

Eine Sicherheitslücke in Safari, die zu unangenehmen Indiskretionen führen kann, ist aktuell noch nicht geschlossen worden. Das Problem steckt in der Implementierung der IndexedDB-Schnittstelle. Hierbei können persönliche Daten eines Nutzers von Safari abgeschöpft werden. Dies ist möglich, so lange der Nutzer mit einem Google-Account auf einer Safari-Seite an einem Google-Dienst angemeldet ist.

Das Problem war ursprünglich von FingerprintJS entdeckt worden, die es in einem Blog-Post genau beschreiben und auch eine Demo von dessen Ausnutzung erstellt haben. Die Lücke besteht darin, dass eine Webseite das Google-Konto herausfinden kann, das ein Nutzer verwendet. Unter Nutzung dieses Kontos können dann verschiedene Daten abgegriffen werden, dazu zählt etwa auch der Verlauf des Nutzers.

In Tests wurden 30 besuchte Webseiten ermittelt, es ist allerdings kein Problem, noch deutlich größere Datensätze aus dem Verlauf der Nutzer herauszuholen.

Apple weiß schon lange bescheid und tut nichts

In einer Demo haben die Sicherheitsforscher gezeigt, wie das Profilbild eines Google-Kontos auf diese Weise ermittelt werden kann. Auch weitere Kontodaten sind möglicherweise anfällig. Diese Lücke hatte FingerprintJS bereits am 28. November an Apple übermittelt, doch das Unternehmen hat sich bis heute nicht veranlasst zu sehen, sie zu beseitigen.

Eine Möglichkeit, sich zu schützen, könnte darin bestehen, sich nur zur unmittelbaren Verwendung eines Google-Dienstes mit einem Konto anzumelden und sich anschließend wieder abzumelden. Das würde allerdings den Nutzungskomfort deutlich einschränken. Apple könnte die Lücke schließen, indem man die entsprechende Implementierung der API-Abfrage dergestalt ändert, dass Webseiten nur noch Abfragen die eigene Domain betreffend vornehmen können, aktuell ist hier jede Domain zulässig.

-----
Willst du keine News mehr verpassen? Dann folge uns auf Twitter oder werde Fan auf Facebook. Du kannst natürlich in Ergänzung unsere iPhone und iPad-App mit Push-Benachrichtigungen hier kostenlos laden.

Gefällt Dir der Artikel?

 
 
Roman van Genabith
twitter Google app.net mail

6 Kommentare zu dem Artikel "Safari-Lücke: Webseiten können Verlauf und Google-Kontodetails abgreifen"

  1. Thorsten 17. Januar 2022 um 16:50 Uhr ·
    Da kann man ja auch gleich Android oder Windows verwenden.
    iLike 6
  2. Stanger 17. Januar 2022 um 17:37 Uhr ·
    Bei mir ist alles in Ordnung , aber ich werde mal Safari fragen ob die von meinen Account von Google mir mal mein Passwort mir sagen können , denn ich habe Google gebeten mir mein Passwort zurück setzen nur das funktioniert nicht mehr bei denn , ich komme nämlich nicht mehr auf das Konto
    iLike 2
    • skymind 18. Januar 2022 um 09:45 Uhr ·
      Deutsche Sprache, schwere Sprache?
      iLike 1
      • Terfaw 18. Januar 2022 um 15:58 Uhr ·
        We are still taxpayers
        iLike 0
  3. Actron 17. Januar 2022 um 18:13 Uhr ·
    Sich mit seinem Google Account irgendwo anzumelden ist schon der erste Fehler… Entweder immer per E-Mail anmelden, oder per Apple mit versteckter Adresse! Nie den Google Login verwenden!!!
    iLike 5
    • Thorsten 17. Januar 2022 um 20:25 Uhr ·
      Trotzdem ist es ein Unding, dass Apple das noch nicht gefixt hat.
      iLike 7

Leider kann man keine Kommentare zu diesem Beitrag mehr schreiben.