Safari 15.1 tabbladen met traditioneel design.

Bug in Safari lekt persoonlijke Google-gegevens, fix komt eraan

Er is een grote bug in Safari ontdekt die je browseractiviteiten en persoonlijke gegevens van je Google-account lekt, zo blijkt uit een analyse van experts. Apple is nu op de hoogte en werkt aan een oplossing.
Benjamin Kuijten | iCulture.nl - · Laatst bijgewerkt:

Update 26 januari 2022: Deze Safari-bug is opgelost in de update iOS 15.3, die zojuist is verschenen.

Update 20 januari 2022: Deze Safari-bug is gefixt in de zojuist verschenen Release Candidate van iOS 15.3. De officiële release duurt nu niet lang meer.

Update 19 januari 2022: Uit de GitHub-pagina van WebKit, de motor achter Safari, blijkt dat Apple werkt aan een fix voor deze bug, waardoor je browseractiviteiten en meer binnen een sessie gedeeld wordt aan websites. De bug werd eind november 2021 al bij Apple gemeld en het goede nieuws is nu dus dat er een oplossing in de maak is. Het is nog niet duidelijk wanneer de fix beschikbaar komt voor gebruikers. Er is in ieder geval een iOS- en iPadOS-update nodig. Voor de Mac kan Apple een aparte Safari-update uitbrengen.

Hieronder volgt het oorspronkelijke artikel van 17 januari
Apple neemt regelmatig maatregelen om het browsen in Safari veiliger te maken, zoals met het Safari privacyrapport. Maar met Safari 15, de huidige versie van de browser op de iPhone, iPad en Mac, is Apple toch de fout in gegaan. Een bug in Safari 15 deelt namelijk je browseractiviteiten en informatie dat gekoppeld is aan je Google-account met andere websites, zo ontdekte FingerprintJS.

Safari 15 bug lekt browseractiviteiten en Google-data

De bug wordt veroorzaakt door de manier hoe de IndexedDB API gebruikt wordt in Safari. Dit is een tool die alle grote browsers gebruiken om lokale databases op te bouwen. Deze tool werkt volgens een zogenaamd same-origin beleid, wat wil zeggen dat alleen de bron die de informatie aanlevert deze ook als enige kan raadplegen. Maar de bug zorgt ervoor dat Safari dit beleid negeert. Als je een website bezoekt, maakt de API er een database bij. Maar tegelijkertijd wordt er een lege database met dezelfde naam aangemaakt in alle andere tabbladen en vensters binnen diezelfde browsersessie. Hierdoor kunnen andere websites dus de naam van de database zien en dus op die manier je browseractiviteiten inzien.

Demo van Safari 15 bug met IndexedDB.

Maar websites en diensten die gebruikmaken van Google, leggen in de naam van die databases ook je unieke Google User ID vast. Deze unieke code wordt gebruikt om bepaalde persoonsgegevens van je Google-account te achterhalen. Denk bijvoorbeeld aan je profielfoto. Op die manier kunnen andere sites dus persoonsgegevens achterhalen uit je Google-account.

Demo en wat je zelf kan doen
Er is een demowebsite waarin je zelf kunt zien welke websites die je onlangs bezocht hebt, de databasenamen kunnen zien. Je ziet dan ook je eigen unieke Google User ID en de bijbehorende profielfoto. Je kunt helaas zelf nu niks doen om de bug te omzeilen. Ook in een privévenster is de bug actief. Op de Mac kun je kiezen om een andere browser te gebruiken, maar op de iPhone en iPad is dat een ander verhaal. Omdat alle browsers daar gebruik moeten maken van WebKit (de motor achter Safari), zijn alle browsers daar getroffen. De ontdekkers hebben de bug al eind november 2021 bij de WebKit Bug Tracker gemeld, maar tot op heden is het nog niet opgelost.

Revisiegeschiedenis:

  • 2022 - 19 januari: Artikel bijgewerkt nadat duidelijk is dat Apple aan een oplossing werkt.

Safari

Safari is de Apple's eigen webbrowser die standaard beschikbaar is op iPhone, iPad en Mac. Safari draait op WebKit, de motor achter de browser en ondersteunt alle huidige internetstandaarden. Safari heeft allerlei handige functies, zoals het instellen van favoriete websites, bladwijzers, het Safari-privacyrapport, het aanmaken van Safari-profielen en nog veel meer. De browser krijgt regelmatig nieuwe functies, samen met grote iOS-, iPadOS- en macOS-updates. Lees hier alles over Safari en nuttige tips.

Safari

Reacties: 13 reacties

Reacties zijn gesloten voor dit artikel.