Moderne Webseiten sind komplexe Konstruktionen, welche anders als in den Anfangszeiten des Internets weit mehr bieten als nur die reine Anzeige von Informationen. Damit insbesondere Onlineshops, Cloud-Dienste aller Art, Soziale Netzwerke oder Nachrichtenportale wie vorgesehen funktionieren, legen die Anbieter auf Computern, Smartphones oder Tablets häufig Daten lokal ab. Dabei kommen neben Cookies seit vielen Jahren auch Datenbanken zum Einsatz, Browser wie Safari stellen für diesen Zweck entsprechende Programmierschnittstellen zur Verfügung.


Fehler in WebKit erlaubt Zugriff auf fremde Informationen
Zugriff auf eine solche Datenbank hat naturgemäß nur die Webseite, welche die Informationen auf dem jeweiligen Gerät gespeichert hat. Apples hauseigener Browser Safari beziehungsweise die ihm zugrundeliegende Engine namens WebKit weist allerdings seit geraumer Zeit in diesem Zusammenhang einen Fehler auf. Der Bug ermöglicht es Webseitenbetreibern, sich über die lokalen Datenbanken anderer zu informieren und die Angaben für eigene Zwecke auszuwerten. Das berichtet das Unternehmen FingerprintJS jetzt in seinem hauseigenen Blog.

Bug gibt die Namen aller Datenbanken preis
Der Fehler steckt in Apples Implementierung der Datenbankschnittstelle, einer Javascript-API namens IndexedDB. Diese gibt die Namen aller während einer Browser-Session angelegten Datenbanken preis und erlaubt Webseiten somit, den Verlauf der Aktivitäten zu tracken. Werbenetzwerke könnten diese Schwachstelle missbrauchen, um Surfgewohnheiten auszuspionieren und für ihre Zwecke zu nutzen. Die Inhalte fremder Datenbanken können zwar nicht eingesehen werden, allerdings geben in aller Regel bereits deren Namen den Browserverlauf preis. Bei einigen Webseiten wie etwa YouTube enthält die Bezeichnung der Datenbank zudem die User-ID des Nutzers, was unter Umständen das Abgreifen persönlicher Daten und die Ermittlung der Identität ermöglicht.

Sicherheitsupdate lässt bislang auf sich warten
Betroffen von dem WebKit-Bug sind Safari 15 für macOS sowie Safari für iOS/iPadOS 15 und höher. Die Schwachstelle ist zudem in allen Dritthersteller-Browsern für iPhone und iPad enthalten, da Apple auf den hauseigenen Smartphones und Tablets die Nutzung von WebKit vorschreibt. Ältere Versionen sowie etwa Firefox für macOS weisen die Lücke nicht auf. FingerprintJS stellt eine Demo-Webseite zur Verfügung, mit welcher sich die Anfälligkeit einzelner Browser testen lässt. Der Bug wurde bereits am 28. November 2021 im WebKit Bug Tracker gemeldet, bislang hat Apple allerdings noch kein Sicherheitsupdate für Safari beziehungsweise WebKit veröffentlicht.