Eigentlich hat sich Apple in den vergangenen Jahren als eine Art Vorreiter im Kampf um die Privatsphäre der Nutzer und vor allem auch gegen das Webseiten-übergreifende Tracking positioniert. Umso unerfreulicher ist ein jetzt bekannt gewordener Fehler, der nicht nur Webseiten das Tracking der User einfacher macht, sondern auch gleich noch andere sensible Daten ausplaudert.

IndexedDB

Safari 15 weist eine grobe Schwachstelle in der Implementierung der IndexedDB auf. Diese Schnittstelle ist eigentlich dazu gedacht, dass Websites Daten lokal in einer Datenbank speichern und später wieder abrufen können. Abgesichert ist das über die sogenannte Same-Origin-Policy, die eigentlich dafür sorgen soll, dass nur die jeweilige Website wieder auf die passenden Daten zugreifen kann – und sonst niemand.

Sensible Daten frei Haus

Genau hier hat Apple aber gepatzt, wie die Website FingerprintJS entdeckt hat. So wird beim Zugriff auf eine IndexedDB eine leere Datenbank gleichen Namens in sämtlichen anderen gerade geöffneten Tabs, Frames und Fenstern erstellt. Das heißt, jede Website bekommt so die Namen aller anderen in Benutzung befindlichen Datenbanken frei Haus geliefert. Dies könnte eine Seite dafür benutzen, um das Surfverhalten der User zu tracken und aus der Kombination aus aufgerufenen Seiten auch gleich einen digitalen Fingerabdruck zu erstellen – gemeinsam mit anderen Browserinformationen.

Besonders problematisch wird dies, wenn die von der Seite angelegte Datenbank sensible Informationen im Namen trägt. So verwendet etwa Youtube eine IndexedDB, die die zugehörige Google-User-ID im Namen trägt. Das wäre dann nicht nur eine eindeutige Zuordnung, über die ID ließen sich auch noch weitere öffentlich beim Google-Konto verfügbare Daten zur Person in Erfahrung bringen – also selbst der echte Name und ein Profilbild.

Ausprobieren

Die Entdecker der Lücke stellen dabei eine eigene Testseite zur Verfügung, mit der das Problem demonstriert wird. Dabei zeigt sich schnell, dass das Datenleck sowohl mit Safari 15 am Mac als auch unter iOS 15 und iPad OS besteht. Selbst der Privatsphärenmodus bewahrt nicht vor dieser Form des Trackings. Vor allem aber gibt es bisher kein Update, um den Fehler auszuräumen. Der Fehler wurde zwar bereits im November an Apple gemeldet, das Unternehmen hat das Defizit bisher aber noch nicht behoben.

Für betroffene User gibt es bisher keine einfache Lösung. Bei FingerprintJS betont man, dass das Deaktivieren von Javascript im Browser zwar eine Datenspionage auf diesem Weg aushebeln würde, das aber heutzutage im Web einfach nicht mehr realistisch sei, weil dann viele Websites nicht mehr funktionieren.

Was bleibt?

Bliebe eigentlich nur, einen anderen Browser zu nutzen – zumindest bis Apple den Fehler bei Safari behoben hat. Das ist allerdings nur am Mac eine Alternative. Auf iOS zwingt Apple die Browserentwickler dazu, die eigene Softwarebasis zu verwenden, es gibt also gar keine vollständig unabhängigen Browser. Dementsprechend sind auch sämtliche Browser für iOS und iPad OS von dem Problem betroffen. (apo, 17.1.2022)