UPDATE - Apple heeft een patch uitgebracht voor het recent ontdekte beveiligingslek in Safari versie 15 op iPhones en iPads. Speciaal voor het dichten van dit lek zijn gisteravond iOS en iPadOS 15.3 uitgebracht. 

(origineel bericht 17 januari 2022)

IT-beveiligingsbedrijf FingerprintJS meldt dat er een fout zit in versie 15 van de Safari-browser van Apple. Deze fout kan leiden tot het lekken van o.a. Google-privégegevens van gebruikers op de Mac, iPhone en iPad.

FingerprintJS, een Amerikaans IT-beveiligingsbedrijf dat zich specialiseert in browser fingerprinting en online fraude, is een kwetsbaarheid in de laatste versie van Safari op het spoor gekomen. Deze geldt zowel voor Safari 15 op de Mac als voor de browsers onder iOS en iPadOS 15. Uit het onderzoek blijkt dat als gevolg van de bug in Safari persoonlijke gegevens en de browsergeschiedenis van het Google-account van gebruikers gelekt kunnen worden. 

De kwetsbaarheid zit specifiek in Safari’s implementatie van IndexedDB in de nieuwste versie van de browser. IndexedDB is een programma dat data verzamelt in de browser en wordt door veel websites gebruikt om bijvoorbeeld te onthouden welke pagina’s een bezoeker bekijkt terwijl hij of zij op de desbetreffende website zit. Uit de blog van FingerprintJS: "Elke keer dat een website interactie heeft met een database, wordt er een nieuwe (lege) database met dezelfde naam aangemaakt in alle andere actieve frames, tabbladen en vensters binnen dezelfde browsersessie." Normaal gesproken houdt dit programma zich aan het “same-origin”-beleid. Dit voorkomt dat andere websites of “bronnen” data van een gebruiker kunnen bekijken. De kwetsbaarheid in Safari 15 zorgt er dus voor dat dit beleid wordt overschreden. 
Concreet betekent dit dat wanneer je bijvoorbeeld je Google-webmail of YouTube in één tab open hebt staan, een geopende website in een andere tab in principe toegang heeft tot de database met jouw mailgegevens of YouTube-geschiedenis.

Mobiel kwetsbaarder
Op de Mac-apparaten van Apple zit deze fout alleen in Safari 15 en kun je dus een andere browser gebruiken totdat er een oplossing voor is gevonden. Op iPads en iPhones is het probleem ingewikkelder: op deze apparaten, zo stelt FingerprintJS, zijn alle alternatieve browsers ontwikkeld op basis van dezelfde browser-engine als de voorkeursbrowser Safari. Hierdoor treedt het probleem dus ook op in de mobiele versies van bijvoorbeeld Google Chrome of Firefox. 

Schermafbeelding 2022 01 17 om 15.53.57

FingerprintJs heeft onder de naam Safarileaks.com een 'demopagina' gemaakt, waarin de kwetsbaarheid is aangetoond voor een groot aantal websites. Behalve Google-diensten worden hier ook Netflix, Twitter en Dropbox genoemd.  
Volgens het IT-bedrijf kunnen gebruikers zelf niet zo heel doen aan het probleem, behalve zo spoedig mogelijk Safari updaten zodra Apple de kwetsbaarheid heeft verholpen. Apple heeft nog geen reactie gegeven op het incident, maar is er volgens de melders inmiddels wel mee bezig.