Stor Apple Safari-sekretessbugg innebär att alla webbplatser kan komma åt ditt Google-ID, andra privata data

Om du bryr dig om din integritet menar du att du måste lägga ifrån dig din iPhone, efter en allvarlig implementeringsbugg i Safari betyder att vilken webbplats som helst kan läsa en del av din privata data och senaste webbhistorik, även när du använder läget för privat surfning.

Problemet är hur Safari implementerar IndexedDB, en webbläsarbaserad databas som vanligtvis används av webbappar. De flesta webbläsare skapar en ny instans av IndexedDB för varje webbplats, som endast kan nås från den webbplatsen.

Safari skapar dock tomma versioner av IndexedDB som skapas av varje webbsida på varje annan webbsida, vilket innebär att för IndexedDB Safari inte respekterar samma ursprungspolicy ordentligt.

Även om skuggkopiorna av IndexedDB som skapats för andra webbsidor är tomma, har de fortfarande samma namn som den faktiska databasen som skapats av den ursprungliga webbappen, vilket kan läcka privat information. Bara närvaron av databasen låter andra webbsidor veta att du besökte en annan webbplats, till exempel kan närvaron av Netflix IndexedDB berätta för Amazon att du är en Netflix-användare. Ännu värre, dock kan namnet på databasen läcka dina referenser. Namnet på databasen för Google-appar (som Gmail eller YouTube) inkluderar till exempel ditt GoogleID, som kan användas för att komma åt din offentligt tillgängliga information, som din profilbild.

Felet var upptäckt och rapporterad av FingerprintJS den 28 november, men än så länge har Apple inte vidtagit några åtgärder.

Du kan testa problemet på FingerprintJS:s proof of concept-webbplats här., som kontrollerar om du nyligen besökt 30 olika stora webbplatser.

På macOS kan och bör användare använda en alternativ webbläsare, men på iOS använder alla webbläsare Safari webbmotor, vilket innebär att alla iPhone-användare inte har någon begränsning förutom att sluta använda webbläsaren på sin telefon.

Se FingerprintJS:s förklarande video nedan:

via gränsen