Bug in Safari 15 lekt Google account en browsergeschiedenis

Een fout in Safari 15 (macOS, iOS & iPadOS) zorgt ervoor dat je browsergeschiedenis en Google account ID op straat komen te liggen, dat blijkt uit onderzoek van FingerprintJS, schrijft 9to5Mac. De kwetsbaarheid in Safari 15 komt voor uit een fout in IndexedDB, een API die de gegevens in je browser opslaat.

• macOS Monterey brengt oud tabdesign Safari terug

Bug in Safari 15

In de praktijk zorgt IndexedDB ervoor dat alleen de website waaraan je je gegevens koppelt, er toegang tot heeft. Ben je bijvoorbeeld ingelogd op Facebook en open je daarnaast een kwaadaardige website in een ander tabblad? Dan zorgt IndexedDB ervoor dat die kwaadaardige website geen toegang heeft tot gegevens in andere tabbladen.

FingerprintJS heeft nu een bug gevonden in diezelfde IndexedDB API waarbij het systeem een nieuwe (soms lege) database aanmaakt met dezelfde naam als waarin je data zit die toegankelijk is voor alle andere tabbladen. Dat betekent dus dat ook andere websites informatie als je Google account en andere browsergeschiedenis kunnen achterhalen.

• Workshop: kies zelf wat Safari in een nieuw tabblad opent

Wat kan je hieraan doen?

Als eerste kan je via deze website controleren of IndexedDB ook bij jou informatie uitlekt. De tool kan automatisch je Google account ID achterhalen en op basis van de websites die je bezoekt zal hij tonen of ze al dan niet gegevens ‘uitlekken’. Momenteel toont Safarileaks.com alleen nog maar grotere websites en zal het probleem hoe dan ook veel groter zijn dan het momenteel lijkt.

Ten tweede raden we sterkt aan om tijdelijk Safari niet te gebruiken en over te schakelen op Mozilla Firefox of Google Chrome.

De bug is al bekend bij Apple sinds november 2021, al een tijdje terug dus. De iPhonebouwer heeft vooralsnog niet gereageerd op de communicatie van FingerprintJS.