Naar eigen budget samenstellen
Keuze uit AMD en Intel
Kwaliteit voor de laagste prijs
Vakkundig & gebouwd met aandacht
Uitvoerig door ons getest
Naar eigen wens samenstellen
Keuze uit AMD en Intel
Kwaliteit voor de laagste prijs
Vakkundig en gebouwd met aandacht
Uitvoerig door ons getest
Game PC Expert
+ 10 jaar ervaring
Software Expert
+ 25 jaar ervaring
De Safari 15-browser van Apple bevat een kwetsbaarheid waarmee elke website de internetactiviteit van gebruikers kan volgen. Het beveiligingslek kan ook de identiteit van de gebruiker onthullen. Dat ontdekte FingerprintJS, een dienst voor het detecteren van browserfraude.
FingerprintJS schrijft op haar blog over de kwetsbaarheid in de vorm van de IndexedDB API-implementatie. De kwetsbaarheid zit niet alleen in Safari 15 op macOS, maar ook in alle browsers op iOS en iPadOS 15. De implementatie van deze api in Safari 15 betekent dat elke keer dat een website verbinding maakt met een database, er een nieuwe lege database met dezelfde naam wordt gemaakt in alle andere frames, tabbladen en vensters in dezelfde browsersessie. Volgens FingerprintJS is dit een schending van het beleid van dezelfde oorsprong.
IndexedDB is bedoeld voor opslag aan de clientzijde, bevat behoorlijk wat gegevens en wordt ondersteund door alle belangrijke browsers. Net als veel vergelijkbare API's gebruikt Indexed DB het beleid van dezelfde oorsprong. Dit betekent dat er beperkingen zijn aan hoe scripts of documenten die vanuit de ene bron worden geladen en dat ze niet zomaar verbinding kunnen maken met een andere bron.
Volgens FingerprintJS wordt dat principe geschonden en is het feit dat de databasenamen over meerdere bronnen gelekt kunnen worden een duidelijke privacyschending. Hiermee kunnen willekeurige websites achterhalen welke websites de gebruiker bezoekt in andere tabbladen of vensters. Volgens de dienst is dit mogelijk omdat databasenamen meestal uniek en websitespecifiek zijn.
Daarnaast wijst FingerprintJS er specifiek op dat websites in sommige gevallen unieke, gebruikersspecifieke identifiers gebruiken in databasenamen. Dit betekent dat geverifieerde gebruikers zeer nauwkeurig kunnen worden geïdentificeerd. Daarnaast worden YouTube, Google Calendar of Google Keep genoemd als voorbeelden van sites die databases maken met de geverifieerde Google User ID. Als de gebruiker is ingelogd op meerdere accounts, worden er databases gemaakt voor al deze accounts. Op basis hiervan kunnen kwaadwillende websites de identiteit van de gebruiker achterhalen en kunnen meerdere, aparte accounts van dezelfde gebruiker toch aan elkaar worden gekoppeld.
De kwetsbaarheid treft niet alleen Safari 15 op macOS, maar alle browsers op iOS en iPadOS 15, aangezien ze allemaal de WebKit-engine gebruiken in overeenstemming met de App Store-regelgeving van Apple. Volgens FingerprintJS kunnen gebruikers weinig doen aan dit beveiligingslek, behalve het nemen van "drastische maatregelen", zoals het standaard blokkeren van alle JavaScript en het alleen toestaan op sites die vertrouwd zijn. FingerprintJS zegt dat er maar één echte oplossing is: de browser of het besturingssysteem bijwerken zodra het probleem door Apple is opgelost. Dat laatste is nog niet gebeurd. De kwetsbaarheid werd vorig jaar op 28 november gemeld.
Nieuws overzicht