Apple-browser Safari lekt browsegeschiedenis aan websites
Sites kunnen elkaar zien

Apple-browser Safari lekt browsegeschiedenis aan websites

17-01-2022 16:02 Laatste update: 16:02

Door een fout in Apple-browser Safari 15 kan de recente browsegeschiedenis en sommige persoonlijke informatie, zoals het Google-account van de gebruiker, lekken naar andere websites.

De kwetsbaarheid werd ontdekt door online fraudebestrijder FingerprintJS. Het gaat om een fout in IndexedDB, een onderdeel van Safari waarmee websites bepaalde data op het apparaat van de gebruiker kunnen opslaan, en later weer kunnen opvragen. Daardoor laden sites bij latere bezoeken bijvoorbeeld sneller.

Er zit een veiligheidsmaatregel in IndexedDB, waardoor sites niet van elkaar kunnen zien welke data zij in de browser hebben opgeslagen. In Safari 15 werkt die veiligheidsmaatregel niet goed, ontdekte FingerprintJS. Daardoor kunnen andere sites gedeeltelijk zien welke data er door die IndexedDB zijn opgeslagen. Ze zien daarbij niet het totale bestand, maar kunnen wel de naam lezen.

Identiteit via Google-profiel te achterhalen

Aan die naam is te zien welke andere sites de gebruiker open heeft staan, of recent geopend heeft. Met die data zou een profiel met de browsegeschiedenis van de gebruiker aangemaakt kunnen worden, zonder dat de gebruiker daar iets van merkt. Op een speciale testpagina kunnen gebruikers de fout in actie zien: de site toont de inhoud van IndexedDB, die dus eigenlijk niet inzichtelijk hoort te zijn.

De identiteit van gebruikers kan bovendien achterhaald worden als zij inloggen bij diensten van Google. De unieke Google User ID staat in de titel van de bestanden die in IndexedDB worden opgeslagen. Mogelijk werkt dat bij andere loginmethoden ook zo, al heeft FingerprintJS dat nog niet achterhaald. Met die unieke Google User ID is dus de naam van de gebruiker ongemerkt te koppelen aan het browsegedrag, met allerlei malafide mogelijkheden tot gevolg.

Apple heeft fout nog niet hersteld

Apple is op 28 november vorig jaar door FingerprintJS op de hoogte gesteld van de fout. Tot nu toe heeft het bedrijf de fout nog niet hersteld. De fout zit in Safari 15, die op recente versies van macOS staat, in iPadOS 15 en in iOS 15.

Op de Mac kunnen gebruikers een andere browser gebruiken om de fout te omzeilen. Op iOS en iPadOS kan dat niet: alle browsers maken daar deels gebruik van dezelfde technische onderlaag, en daar zit deze fout in.

Online na je dood: hoe regel je dat?