072 - 201 61 16 31722016116
Slide

Wij bouwen jouw unieke
Game PC op maat

Naar eigen budget samenstellen
Keuze uit AMD en Intel
Kwaliteit voor de laagste prijs
Vakkundig & gebouwd met aandacht
Uitvoerig door ons getest

Naar eigen wens samenstellen
Keuze uit AMD en Intel
Kwaliteit voor de laagste prijs
Vakkundig en gebouwd met aandacht
Uitvoerig door ons getest

Hans
Jordi

Game PC Expert
+ 10 jaar ervaring

Software Expert
+ 20 jaar ervaring

Slide
De kracht van de NVIDIA GeForce RTX 3090 Ti maakt intens gamen mogelijk.
Ontdek de videokaarten in één van onze builders.
previous arrow
next arrow

Safari-kwetsbaarheid kan internetactiviteit en gebruikersidentiteit blootleggen

datum: 17-01-2022Categorie: InternetBron: Tweakers

De Safari 15-browser van Apple bevat een kwetsbaarheid waarmee elke website de internetactiviteit van gebruikers kan volgen. Het beveiligingslek kan ook de identiteit van de gebruiker onthullen. Dat ontdekte FingerprintJS, een dienst voor het detecteren van browserfraude.

FingerprintJS schrijft op haar blog over de kwetsbaarheid in de vorm van de IndexedDB API-implementatie. De kwetsbaarheid zit niet alleen in Safari 15 op macOS, maar ook in alle browsers op iOS en iPadOS 15. De implementatie van deze api in Safari 15 betekent dat elke keer dat een website verbinding maakt met een database, er een nieuwe lege database met dezelfde naam wordt gemaakt in alle andere frames, tabbladen en vensters in dezelfde browsersessie. Volgens FingerprintJS is dit een schending van het beleid van dezelfde oorsprong.

IndexedDB is bedoeld voor opslag aan de clientzijde, bevat behoorlijk wat gegevens en wordt ondersteund door alle belangrijke browsers. Net als veel vergelijkbare API's gebruikt Indexed DB het beleid van dezelfde oorsprong. Dit betekent dat er beperkingen zijn aan hoe scripts of documenten die vanuit de ene bron worden geladen en dat ze niet zomaar verbinding kunnen maken met een andere bron.

Volgens FingerprintJS wordt dat principe geschonden en is het feit dat de databasenamen over meerdere bronnen gelekt kunnen worden een duidelijke privacyschending. Hiermee kunnen willekeurige websites achterhalen welke websites de gebruiker bezoekt in andere tabbladen of vensters. Volgens de dienst is dit mogelijk omdat databasenamen meestal uniek en websitespecifiek zijn.

Daarnaast wijst FingerprintJS er specifiek op dat websites in sommige gevallen unieke, gebruikersspecifieke identifiers gebruiken in databasenamen. Dit betekent dat geverifieerde gebruikers zeer nauwkeurig kunnen worden geïdentificeerd. Daarnaast worden YouTube, Google Calendar of Google Keep genoemd als voorbeelden van sites die databases maken met de geverifieerde Google User ID. Als de gebruiker is ingelogd op meerdere accounts, worden er databases gemaakt voor al deze accounts. Op basis hiervan kunnen kwaadwillende websites de identiteit van de gebruiker achterhalen en kunnen meerdere, aparte accounts van dezelfde gebruiker toch aan elkaar worden gekoppeld.

De kwetsbaarheid treft niet alleen Safari 15 op macOS, maar alle browsers op iOS en iPadOS 15, aangezien ze allemaal de WebKit-engine gebruiken in overeenstemming met de App Store-regelgeving van Apple. Volgens FingerprintJS kunnen gebruikers weinig doen aan dit beveiligingslek, behalve het nemen van "drastische maatregelen", zoals het standaard blokkeren van alle JavaScript en het alleen toestaan op sites die vertrouwd zijn. FingerprintJS zegt dat er maar één echte oplossing is: de browser of het besturingssysteem bijwerken zodra het probleem door Apple is opgelost. Dat laatste is nog niet gebeurd. De kwetsbaarheid werd vorig jaar op 28 november gemeld.

Nieuws overzicht
KvK nummer:  68747640
BTW nummer:  NL857574176B01