Apple neemt regelmatig maatregelen om het browsen in Safari veiliger te maken, zoals met het Safari privacyrapport. Maar met Safari 15, de huidige versie van de browser op de iPhone, iPad en Mac, is Apple toch de fout in gegaan. Een bug in Safari 15 deelt namelijk je browseractiviteiten en informatie dat gekoppeld is aan je Google-account met andere websites, zo ontdekte FingerprintJS.
Safari 15 bug lekt browseractiviteiten en Google-data
De bug wordt veroorzaakt door de manier hoe de IndexedDB API gebruikt wordt in Safari. Dit is een tool die alle grote browsers gebruiken om lokale databases op te bouwen. Deze tool werkt volgens een zogenaamd same-origin beleid, wat wil zeggen dat alleen de bron die de informatie aanlevert deze ook als enige kan raadplegen. Maar de bug zorgt ervoor dat Safari dit beleid negeert. Als je een website bezoekt, maakt de API er een database bij. Maar tegelijkertijd wordt er een lege database met dezelfde naam aangemaakt in alle andere tabbladen en vensters binnen diezelfde browsersessie. Hierdoor kunnen andere websites dus de naam van de database zien en dus op die manier je browseractiviteiten inzien.
Maar websites en diensten die gebruikmaken van Google, leggen in de naam van die databases ook je unieke Google User ID vast. Deze unieke code wordt gebruikt om bepaalde persoonsgegevens van je Google-account te achterhalen. Denk bijvoorbeeld aan je profielfoto. Op die manier kunnen andere sites dus persoonsgegevens achterhalen uit je Google-account.
Demo en wat je zelf kan doen
Er is een demowebsite waarin je zelf kunt zien welke websites die je onlangs bezocht hebt, de databasenamen kunnen zien. Je ziet dan ook je eigen unieke Google User ID en de bijbehorende profielfoto. Je kunt helaas zelf nu niks doen om de bug te omzeilen. Ook in een privévenster is de bug actief. Op de Mac kun je kiezen om een andere browser te gebruiken, maar op de iPhone en iPad is dat een ander verhaal. Omdat alle browsers daar gebruik moeten maken van WebKit (de motor achter Safari), zijn alle browsers daar getroffen. De ontdekkers hebben de bug al eind november 2021 bij de WebKit Bug Tracker gemeld, maar tot op heden is het nog niet opgelost.