Lek in Safari zorgt ervoor dat mensen je browsegeschiedenis kunnen inzien

Door: Wesley Akkerman - 6 reacties
Safari
(Afbeelding: OneMoreThing)

Een nieuw beveiligingslek, gevonden in iOS 13 en macOS Catalina, zorgt ervoor dat iemand zomaar je browsergeschiedenis van Safari kan bekijken. Dat komt door onvoorspelbaar gedrag van de Safari Web Share-api. De api heeft toegang tot systeembestanden die gemakkelijk gedeeld kunnen worden met andere apps.

Hackers kunnen met een gemodificeerde knop via de Safari Web Share-api toegang krijgen tot interne bestanden die normaliter onbereikbaar zijn voor de gebruiker, schrijft gespecialiseerde beveiligingsblog Redteam. De Web Share-api biedt apps en sites toegang tot de Share Sheet waarmee razendsnel informatie onderling uitgewisseld kan worden. Wanneer je op de deelknop drukt, kun je dus bijvoorbeeld een url of bestand delen. En om de één of andere redenen kan iedereen dus zomaar code schrijven die kan vragen om systeembestanden met daarin gevoelige informatie door gebruik te maken van de file:-regeling.

Lek in Safari gespot door beveiligingsblog

Redteam heeft de deelknop laten verwijzen naar het History.db-bestand, waar de volledige browsergeschiedenis van de Safari-browser staat. Normaliter komen gebruikers hier nooit, maar de Web Share-api kan dat bestand dus lezen en delen met andere applicaties. Wanneer dit specifieke bestand naar iemand anders gestuurd is, dan kan het geopend worden via apps die gebruikmaken SQLite-databases.

Hoewel dit beveiligingslek door iedereen met een basale kennis van HTML misbruikt kan worden, hoeft er niet per se nu iets aan de hand te zijn. Het lek functioneert pas volledig wanneer de gebruik een handmatige handeling verricht heeft, aangezien de gegevens niet automatisch gedeeld worden. Bovendien moet zo iemand ook nog overgehaald worden de gegevens via bijvoorbeeld een mail te versturen en op dat moment moet er toch wel een belletje rinkelen.

Het team heeft het lek in Safari aangegeven bij Apple. Het bedrijf laat weten nu op de hoogte te zijn en te kijken wat er nu gedaan kan worden. Er is nog geen update beschikbaar die het lek verhelpt.

Redteam

Reacties

6 reacties
  • Profielfoto
    pmvoorza

    Dus maar even een andere standaardbrowser gebruiken.

  • Profielfoto
    KarelWillem

    Dat moment dat Google Chrome de veiliger browser blijkt.

    2020 is een raar jaar. .;)

  • Profielfoto
    hansz

    Of gewoon goed opletten of je vreemde mailtjes binnen krijgt. Als het echt heel ernstig was zou Apple heel snel een update regelen, is mijn ervaring.

  • Profielfoto
    hansz

    KarelWillem op 26 augustus 2020 12:35
    Dat moment dat Google Chrome de veiliger browser blijkt.

    2020 is een raar jaar. .;)

    Ha, ha, dat moet ook altijd maar blijken want ook in chrome wordt met grote regelmaat 10 tallen lekken gedicht per update beurt. Zelf gebruik ik eigenlijk niks meer van Google en zeker niet de chrome browser, hoofdzakelijk vanwege het irritante volggedrag en de altijd aanwezige opdringerigheid van Google. Dan zou ik nog eerder de Edge chrome browser kiezen. Maar goed, ieder zijn ding.

  • Profielfoto
    KarelWillem

    Dat moment dat Google Chrome de veiliger browser (b)lijkt.

    ;)

  • Profielfoto
    Koezel

    Ach, als je ziet wat er moet gebeuren eer men zo ver is.