Update 26 januari 2022: Deze Safari-bug is opgelost in de update iOS 15.3, die zojuist is verschenen.
Update 20 januari 2022: Deze Safari-bug is gefixt in de zojuist verschenen Release Candidate van iOS 15.3. De officiële release duurt nu niet lang meer.
Update 19 januari 2022: Uit de GitHub-pagina van WebKit, de motor achter Safari, blijkt dat Apple werkt aan een fix voor deze bug, waardoor je browseractiviteiten en meer binnen een sessie gedeeld wordt aan websites. De bug werd eind november 2021 al bij Apple gemeld en het goede nieuws is nu dus dat er een oplossing in de maak is. Het is nog niet duidelijk wanneer de fix beschikbaar komt voor gebruikers. Er is in ieder geval een iOS- en iPadOS-update nodig. Voor de Mac kan Apple een aparte Safari-update uitbrengen.
Hieronder volgt het oorspronkelijke artikel van 17 januari
Apple neemt regelmatig maatregelen om het browsen in Safari veiliger te maken, zoals met het Safari privacyrapport. Maar met Safari 15, de huidige versie van de browser op de iPhone, iPad en Mac, is Apple toch de fout in gegaan. Een bug in Safari 15 deelt namelijk je browseractiviteiten en informatie dat gekoppeld is aan je Google-account met andere websites, zo ontdekte FingerprintJS.
Safari 15 bug lekt browseractiviteiten en Google-data
De bug wordt veroorzaakt door de manier hoe de IndexedDB API gebruikt wordt in Safari. Dit is een tool die alle grote browsers gebruiken om lokale databases op te bouwen. Deze tool werkt volgens een zogenaamd same-origin beleid, wat wil zeggen dat alleen de bron die de informatie aanlevert deze ook als enige kan raadplegen. Maar de bug zorgt ervoor dat Safari dit beleid negeert. Als je een website bezoekt, maakt de API er een database bij. Maar tegelijkertijd wordt er een lege database met dezelfde naam aangemaakt in alle andere tabbladen en vensters binnen diezelfde browsersessie. Hierdoor kunnen andere websites dus de naam van de database zien en dus op die manier je browseractiviteiten inzien.
Maar websites en diensten die gebruikmaken van Google, leggen in de naam van die databases ook je unieke Google User ID vast. Deze unieke code wordt gebruikt om bepaalde persoonsgegevens van je Google-account te achterhalen. Denk bijvoorbeeld aan je profielfoto. Op die manier kunnen andere sites dus persoonsgegevens achterhalen uit je Google-account.
Demo en wat je zelf kan doen
Er is een demowebsite waarin je zelf kunt zien welke websites die je onlangs bezocht hebt, de databasenamen kunnen zien. Je ziet dan ook je eigen unieke Google User ID en de bijbehorende profielfoto. Je kunt helaas zelf nu niks doen om de bug te omzeilen. Ook in een privévenster is de bug actief. Op de Mac kun je kiezen om een andere browser te gebruiken, maar op de iPhone en iPad is dat een ander verhaal. Omdat alle browsers daar gebruik moeten maken van WebKit (de motor achter Safari), zijn alle browsers daar getroffen. De ontdekkers hebben de bug al eind november 2021 bij de WebKit Bug Tracker gemeld, maar tot op heden is het nog niet opgelost.
- 2022 - 19 januari: Artikel bijgewerkt nadat duidelijk is dat Apple aan een oplossing werkt.
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
Het laatste nieuws over Apple van iCulture
- AI gebruiken met de iPhone 3GS? Met deze app lukt het (11-04)
- WhatsApp verbetert oproepen op drie manieren: dit is nieuw (10-04)
- Eindelijk: 'Meta werkt aan Instagram-app voor iPad' (09-04)
- Apple brengt nieuwe Mac- en Vision Pro-app uit: dit kun je met de Immersive Video Utility (08-04)
- WhatsApp krijgt extra beveiligde chats: zo krijg je meer privacy (07-04)
Safari
Safari is de Apple's eigen webbrowser die standaard beschikbaar is op iPhone, iPad en Mac. Safari draait op WebKit, de motor achter de browser en ondersteunt alle huidige internetstandaarden. Safari heeft allerlei handige functies, zoals het instellen van favoriete websites, bladwijzers, het Safari-privacyrapport, het aanmaken van Safari-profielen en nog veel meer. De browser krijgt regelmatig nieuwe functies, samen met grote iOS-, iPadOS- en macOS-updates. Lees hier alles over Safari en nuttige tips.
- Alles over Safari
- Handige tips voor Safari op iPhone en iPad
- De beste Safari-extensies
- Adresbalk in Safari boven of onder
- Favoriete websites openen met Safari op iPhone en iPad
- Websites vertalen via Safari
- Zo werkt de Safari-leeslijst
- Safari-tabbladen sluiten doe je zo
- Safari-wallpaper op de Mac instellen
- Zo werkt de Safari-startpagina
- Safari-privacyrapport
- Privémodus in Safari
- Safari-profielen gebruiken
Helpt uitloggen bij Google accounts en wissen van je website data ook niet?
Lijkt me dat, zeker het in de publiciteit gebracht is, Apple dit probleem snel zag gaan fixen.
Als je uitgelogd bent dan werkt het niet. Maar als je eerder ingelogd was, kan al wel veel data onderschept zijn
Eigenlijk schandalig dat ze het niet AL hebben gerepareerd. Dit speelt als sinds eind november. Omdat Apple het nog niet gefixt heeft is het naar buiten gebracht. Er is nog veel mis bij Apple’s bug bounty afdeling.
Die bounty afdeling is vast op orde. Het is meer de prioriteit die Apple het repareren van bugs toekent. Dat stond nooit hoog op de lijst. Voorstel: alle csam ontwikkelaars naar de afdeling bug fix. De volgende bug maakt het mogelijk via de csam functie de complete telefoon over te nemen. Kun je op wachten.
@Jaap Couro: Ik moet je helaas teleurstellen maar het antwoord is nee. Apple heeft niet haar bounty programma op orde. Er zijn talloze developers/exploit finders die hier over klagen. Zoek het maar eens op, Apple doet regelmatig lange tijd niets met de gevonden bugs.
Ik heb geen Google account, NEXT!
Precies!
Het valt wel mee als ik de bron van het artikel goed lees en interpreteer met mijn webdev kennis:
Als ik een website bezoek, bv iCulture.nl, dan worden in alle tabbladsessies lege databases aangemaakt met de naam “iCulture.nl”.
Websites in die andere tabbladen kunnen dan zien dat ik iCulture.nl bezocht heb. Tenminste, als de websites deze bug specifiek gebruiken. Daardoor dienen ze de website aan te passen. Dan kunnen ze achterhalen welke website je bezocht hebt. Meer niet. Niet specifieke pagina’s bijvoorbeeld.
Waar het bij Google mis gaat, is dat je Google-ID in de naam van die database staat. Dus dan weten die websites in de andere tabbladen ook wat je Google ID is.
Dit is echt alles. Er worden geen andere gegevens gelekt.
De bron die ik gelezen hebt, vind je overigens onderaan het artikel. Voor als je interesse hebt 😀
(Red.) Artikel bijgewerkt nadat duidelijk is dat Apple aan een oplossing werkt.
Waarom gebruikt iemand überhaupt iets van Google. Ik zie reacties over CSAM vanwege privacy gevoeligheid, en dan wel nog Google dagelijks gebruiken?
@Joop de Groot: Tuurlijk joh, ga de schuld op de Safari gebruiker pinnen, in plaats van op Apple die deze security bug maanden lang genegeerd heeft (en nu het de aandacht heeft ineens wel prio geeft). pfff
Of je nou Google (voor zakelijke Workspace accounts bijvoorbeeld zijn hun voorwaarden zo gek nog niet) of een andere dienst.. Het gaat iemand anders (die dit simpelweg kan uitlezen uit jouw browser) geen mallemoer aan wat jij en ik met onze browsers doen. Punt.
Het is al een hele tijd bekend dat Apple zijn bug bounty afdeling slecht op orde heeft. Er heerst een soort arrogantie, waar dat helemaal niet op zijn plaats is. Ook de belabberde afhandeling van deze bug is daar een prima voorbeeld van.
Even de test website bekeken, die wil forceren dat ik inlog met een Google account. Dat heb ik al lang niet meer. Ik wist lang geleden al dat je bij Google zelf het product bent en je gegevens niet veilig zijn. Blijkbaar hebben mensen zonder Google account dus geen last van deze bug, als ik het goed heb begrepen.