Grote privacybug in Apple Safari betekent dat alle websites toegang hebben tot uw Google-ID en andere privégegevens

Home » Apple

Pictogram voor leestijd 2 minuut. lezen

Kalender pictogram Uitgegeven op

by Surur Davids 

gepubliceerd op

deel dit artikel

Lezers helpen MSpoweruser ondersteunen. We kunnen een commissie krijgen als u via onze links koopt. Tooltip-pictogram

Lees onze openbaarmakingspagina om erachter te komen hoe u MSPoweruser kunt helpen het redactieteam te ondersteunen Lees meer

Als je om je privacy geeft, bedoel je dat je je iPhone moet neerleggen, na een serieuze implementatiefout in Safari betekent dat elke website sommige van je privégegevens en recente browsegeschiedenis kan lezen, zelfs als je de modus Privénavigatie gebruikt.

Het probleem is hoe Safari IndexedDB implementeert, een browsergebaseerde database die vaak wordt gebruikt door web-apps. De meeste browsers maken voor elke website een nieuw exemplaar van IndexedDB, dat alleen toegankelijk is vanaf die website.

Safari maakt echter lege versies van de IndexedDB die door elke webpagina in elke andere webpagina zijn gemaakt, wat betekent dat voor IndexedDB Safari het beleid van dezelfde oorsprong niet correct respecteert.

Hoewel de schaduwkopieën van IndexedDB die voor andere webpagina's zijn gemaakt, leeg zijn, hebben ze nog steeds dezelfde naam als de daadwerkelijke database die door de oorspronkelijke webapp is gemaakt, waardoor privégegevens kunnen lekken. Alleen al de aanwezigheid van de database laat andere webpagina's weten dat u een andere website hebt bezocht, bijvoorbeeld de aanwezigheid van de Netflix IndexedDB zou Amazon kunnen vertellen dat u een Netflix-gebruiker bent. Erger nog, de naam van de database kan uw inloggegevens lekken. De naam van de database voor Google-apps (zoals Gmail of YouTube) bevat bijvoorbeeld uw GoogleID, die kan worden gebruikt om toegang te krijgen tot uw openbaar beschikbare informatie, zoals uw profielfoto.

De fout was: ontdekt en gerapporteerd door FingerprintJS op 28 november, maar tot nu toe heeft Apple geen actie ondernomen.

U kunt het probleem testen op de proof of concept-website van FingerprintJS hier, waarmee wordt gecontroleerd of u recentelijk 30 verschillende grote websites hebt bezocht.

Op macOS kunnen en moeten gebruikers een alternatieve browser gebruiken, maar op iOS gebruiken alle browsers de Safari-webengine, wat betekent dat alle iPhone-gebruikers geen beperking hebben, behalve dat ze de browser op hun telefoon niet meer gebruiken.

Bekijk hieronder de uitlegvideo van FingerprintJS:

via de rand

Meer over de onderwerpen: appel, Privacy, veiligheid

Surur Davids

Surur Davids Schild

Smartphone-expert

Surur Davids is de oprichter van WMPoweruser, wat later MSPoweruser.com werd. Hij is een smartphone-expert met meer dan tien jaar ervaring.

Laat een reactie achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *