Safari gibt Nutzerdaten preis: Apple seit November untätig

Die aktuelle Version 15 des von Apple angebotenen Safari-Browsers hat ein Datenleck, das zwielichtige Webseitenbetreiber zum Abgreifen von Teilen der persönlichen Surf-Historie einsetzen könnten. Darauf macht der auf sogenanntes Browser-Fingerprinting spezialisierte Anbieter FingerprintJS aufmerksam.

Dieser betont, dass man die aufgespürte Schwachstelle selbst nicht nutzen würde und auf eine schnelle Reaktion Apples hofft. Allerdings ist Cupertino bislang selbst nicht tätig geworden. So sei Apple bereits im November 2021 über die Schwachstelle informiert worden, dennoch sei diese auch in den jüngsten Versionen des Safari-Browsers noch vorhanden.

Damit sich dies schnellstmöglich ändern hat FingerprintJS nun die breite Öffentlichkeit informiert und stellt eine Demo-Seite zur Verfügung, die vor Augen führt, welche Informationen Webseiten-Betreiber über entsprechende Safari-Abfragen in Erfahrung bringen könnten.

Öffentlichkeit soll Apple motivieren

Dass der Gang an die Öffentlichkeit Apple zum schnellen nachbessern motivieren könnte, zeigen die jüngsten Aktualisierungen für iPadOS und iOS die am vergangenen Mittwoch ausgegeben wurden. Auch Version 15.2.1 der mobilen Betriebssysteme schloss eine Sicherheitslücke über die Apple schon mehrere Monate im Bilde war, die allerdings erst öffentlich gemacht werden musste, um von Apples Ingenieuren auch gestopft zu werden.

IndexedDB-Leck liest Offline-Daten aus

Im aktuellen Fall gestattet eine von Safari verwaltete Datenbank das Abgreifen von Nutzerdaten. Diese lässt Anfragen von Webseiten zu, die sich nach Datenbank-Inhalten anderer Domains erkundigen und somit in Erfahrung bringen können, auf welche Seiten Nutzer und Nutzerinnen noch unterwegs waren. Ist deren Auswahl individuell und groß genug, würde dies auch das Erstellen von Nutzerprofilen zulassen.