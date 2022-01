Safari 15- bug zorgt ervoor dat je gegevens praktisch op straat liggen

De Safari-browser heeft een vervelende softwarefout, waardoor het kan gebeuren dat je persoonlijke gegevens op straat liggen. Het gaat om versie 15 van het programma, die ervoor zorgt dat bijvoorbeeld je browseractiviteiten lekken. Ook kan het gebeuren dat informatie uit je Google-account vrijkomt.

De fout stamt uit de implementatie van de IndexedDB-api, schrijft FingerprintJS. Dat is een application programming interface die verantwoordelijk is voor het opslaan van data binnen je browser. Deze api zorgt ervoor dat alleen de website die bepaalde data genereert, daar als enige en alleen toegang tot heeft.

Fout in Safari 15

Bijvoorbeeld: open je je mail in een tab en een malafide pagina in een andere tab, dan heeft die tweede pagina geen toegang tot je e-mail. Dat wordt het same-origin-beleid genoemd. De manier waarop Apple echter omgaat met IndexedDB, zorgt ervoor dat andere sites wel toegang hebben tot opgeslagen gegevens.

Pagina’s uit tab twee zien dat gegevens uit tab één. En dat betekent dat bepaalde identifiers zichtbaar zijn voor sites of kwaadwillenden die daar niets mee te maken hebben. Gebruik je bijvoorbeeld en dienst van Google, en ben je ingelogd, dan is overal je Google User ID zichtbaar. Dat ID bevat allerlei openbare info waar Google dankbaar gebruik van maakt; die info is dus zichtbaar voor andere websites.

Proof-of-concept

FingerprintJS heeft een proof-of-concept-website gemaakt waarmee je zelf kunt zien hoe de bug precies werkt binnen Safari 15. De demo laat zien welke websites je nog meer open hebt staan of welke je recentelijk geopend hebt. Vervolgens zie je hoe websites de fout exploiteren, waardoor ze je informatie in handen krijgen.

Momenteel detecteert de demo ongeveer dertig populaire websites, zoals Instagram, Netflix, Twitter en Xbox. Maar je mag ervan uitgaan dat de omvang van het probleem veel groter is dan die websites. Helaas kun je hier als gebruiker weinig aan doen. Surfen in de privémodus helpt ook niet. Het is dus wachten totdat Apple het probleem oplost. Tot die tijd kun je op macOS beter een andere browser gebruiken.

FingerprintJS