Ein Bug in Safari kann Eure Google-Informationen und den Browserverlauf preisgeben

Hallo und herzlich willkommen zu einem neuen Beitrag auf meinem Blog,

Auch wenn man Android so überhaupt nicht mag, weil es von Google stammt, kommt man dennoch nicht um die Dienste des Suchkonzerns aus Mountain View herum. Schließlich schaut jeder gerne mal ein Video bei YouTube und hinterlässt auch den einen oder anderen Kommentar. Umso ärgerlicher, wenn es hierzu eine schwerwiegende Sicherheitslücke im Bezug auf das Google-Konto gibt.

Schwerwiegende Sicherheitslücke kompromittiert Google-Informationen

Der Safari-Bug wurde von FingerprintJS aufgedeckt und in einem Blogbeitrag dokumentiert und ist durchaus gefährlich. Ein Fehler in Safaris IndexedDB-Implementierung auf Mac und iOS bedeutet, dass eine manipulierte Website die Namen von Datenbanken für jede Domain sehen kann – der Zugriff geht also über die eigenen Domain hinaus. Dieser Exploit lässt sich auf dieser Demo-Seite direkt ansehen und ausprobieren. Der Proof-of-Concept führt nur eine Nachschlagetabelle mit etwa 30 Domainnamen, es gibt jedoch keinen Grund, warum die Technik nicht auf einen viel größeren Satz angewendet werden konnte. Fast jede Website, die die IndexedDB JavaScript API verwendet, könnte anfällig für solches Daten Scraping sein.

Was diese Sache nun so gefährlich macht, ist die Tatsache, dass darüber auch Informationen zum angemeldeten Google-Account abfischen kann. Dies ist besonders kritisch, da man sich mithilfe eines Google-Accounts und dem damit verbundenen „Single-Sign-On“ auf anderen Webseiten anmelden kann – „Anmelden mit Google“ heißt der Service.

Sicherheitslücke auf allen Plattformen vertreten – Apple bekam Hinweis schon Ende November 2021

Diese Sicherheitslücke ist auf allen Hardware-Plattformen vertreten, auf denen Safari als Browser verfügbar ist. Neben dem Mac sind das iPhone. iPad und auch der iPod Touch. Deshalb ist es umso verwunderlicher, dass der iPhone-Konzern hier so einen laxen Umgang damit pflegt. Laut der Webseite habe man diese Sicherheitslücke bereits am 28. November 2021 an Apple gemeldet – das Update auf iOS 15.2.1 hat diese Lücke nachweislich nicht geschlossen.

Was sagt Ihr dazu? Nutzt Ihr eigentlich noch den Single-Sign-On mit Google? Schreibt mir Euer Feedback in die nachfolgenden Kommentare

Macht´s gut und bis zum nächsten Mal hier auf dem appletechnikblog, Euer Patrick a.k.a. Meister des Apfels

Einmalig
Monatlich
Jährlich

Spendiere mir einen Kaffee und unterstütze damit meinen Blog und mich bei der Arbeit

Monatlich spenden

Jährlich spenden

Wähle einen Betrag aus

$5.00
$15.00
$100.00
$5.00
$15.00
$100.00
$5.00
$15.00
$100.00

Oder gib einen individuellen Betrag ein

$

Wir wissen deine Spende sehr zu schätzen.

Wir wissen deine Spende sehr zu schätzen.

Wir wissen deine Spende sehr zu schätzen.

SpendenMonatlich spendenJährlich spenden

Kommentar verfassen

Betrieben von WordPress | Theme: Baskerville 2 von Anders Noren.

Nach oben ↑

appletechnikblog
%d Bloggern gefällt das: