Ein Fehler in der Apfel Der Safari-Webbrowser ermöglicht Websites den Zugriff auf den Browserverlauf und andere persönliche Informationen der Benutzer. Mit den letzten Updates für iOS hat Apple viele Fehler und Schwachstellen behoben. Im November 2021 veröffentlichte Apple das iOS 15.1 mit SharePlay und ProRes Video für iPhone 13 Pro-Modelle. Es wurde jedoch berichtet, dass es zwei ungepatchte Zero-Day-Schwachstellen enthielt, die angeblich aktiv ausgenutzt wurden. Darüber hinaus soll die öffentliche Version des Updates mit Fehlern behaftet sein, darunter Verbindungsprobleme mit AirPods Pro und Unlock with Apple Watch-Funktion.
Das aktuelle iOS 15.2.1-Update enthält auch eine Korrektur für einen HomeKit-Fehler. Wie in der Zusammenfassung des Fehlers im Spiniolas-Bericht erwähnt, führt die Änderung des Namens eines HomeKit-Geräts in eine Zeichenfolge mit vielen Zeichen zu einer Störung des Geräts, wodurch es unbrauchbar wird. Da Apple das Problem jedoch mit seinem neuesten Update behoben hat, wird Benutzern empfohlen, auf die neueste Version von iOS zu aktualisieren.
FingerabdruckJS berichtet, dass Safari 15 auf macOS und alle Browser auf iOS und iPadOS 15 für den Fehler anfällig sind. Die in diesen Webbrowsern verwendete IndexedDB-API hält sich nicht an die Same-Origin-Richtlinie, die verhindert, dass Skripte oder Dokumente eines Ursprungs auf Informationen aus anderen Quellen zugreifen. Aufgrund des Fehlers wird jedes Mal, wenn eine Website mit der lokalen Datenbank interagiert, die Informationen über den Benutzer und seine Browsing-Aktivitäten speichert, eine leere Datenbank mit einem ähnlichen Namen für alle anderen Registerkarten und Fenster erstellt, die während der Sitzung aktiv sind. Zugriff auf diese “Cross-Origin-duplizierte Datenbanken„Eine Domain kann Informationen erhalten, die die Privatsphäre der Benutzer verletzen. Mit einfachen Worten, der Fehler ermöglicht es Websites, auf die Browserinformationen und den Verlauf der Benutzer zuzugreifen, die sich auf andere Websites im Apple Safari-Webbrowser beziehen.
Diejenigen, die Apple-Geräte wie ein iPhone, iPad oder MacBook verwenden, können die Live-Demonstration des Fehlers ausprobieren Hier. Diese Demonstration zeigt die Verletzung der IndexedDB-Richtlinie zum gleichen Ursprung in der Browser-Engine, die in Safari, WebKit, verwendet wird. Wenn Sie die Demoseite von einem macOS-Gerät aus besuchen, werden die Anzahl der Datenbanknamen (die Anzahl der aktiven Registerkarten in einer Browsersitzung) und eine Liste von Websites aus dem letzten Browserverlauf der Benutzer angezeigt. Leider ist das noch nicht alles. Der Fehler ermöglicht es auch bösartigen Websites, auf die Google-ID zuzugreifen, die möglicherweise mit dem Browser verknüpft ist, wodurch die Identität des Benutzers und andere persönliche Details preisgegeben werden können. Der Besuch der Demo-Seite von einem Windows 10- oder Windows 11-Laptop sagt eindeutig: „Ihr Browser ist davon nicht betroffen” und zeigt keine Websites oder andere Details an.
Bei weiteren Untersuchungen fand FingerprintJS heraus, dass mehr als 30 Websites in den 1000 meistbesuchten Websites von Alexa ohne die Zustimmung der Benutzer auf die indizierten Datenbanken zugegriffen haben. Auch der private Modus von Safari 15 scheint von dem Fehler betroffen zu sein. Darüber hinaus gibt es nicht viel, was Benutzer tun können, um sich vor dem Fehler zu schützen. Bei der Aktualisierung ihres ersten Berichts hat FingerprintJS auch erwähnt, dass Apple-Ingenieure am Sonntag, dem 16. Januar 2022, mit der Arbeit an dem Fehler begonnen haben. Der Fehler ist jedoch immer noch in Safari 15 für macOS und allen Webbrowsern unter iOS und iPadOS 15 vorhanden, und das wird er auch tun Sie dies weiterhin, wenn kein Fix von veröffentlicht wurde Apfel.
Quelle: FingerabdruckJS, Safari-Lecks