In iOS 15.3

Update: Apple behebt Privatsphäre-Bug in Webkit

Uhr
von René Jaun und pwo, nba

Eine Schwachstelle im Webkit von Apple hat Betreiberinnen und Betreiber bösartiger Websites ermöglicht, den Browserverlauf ihrer Besucherinnen und Besucher auszulesen. Um dies zu beheben, hat Apple nun Sicherheits-Updates veröffentlicht.

(Source: Netzmedien)
(Source: Netzmedien)

Update vom 31.01.2022: Apple hat Version 15.3 seiner Betriebssysteme iOS und iPadOS sowie eine neue Version des Safari-Browsers für macOS veröffentlicht. Darin schliesst das Unternehmen die Schwachstelle im Webkit, über welche Betreiberinnen und Betreiber bösartiger Websites auf den Browserverlauf zugreifen konnten.

Gleichzeitig vermeldet Apple auch noch die Beseitigung diverser weiterer Schwachstellen. Darunter ist auch eine kritische Sicherheitslücke in Webkit. Über diese hätte ein Angreifer mittels einer entsprechend präparierten Website willkürlichen Programmcode auf dem Gerät seiner Opfer ausführen können.

Originalmeldung vom 18.01.2022: Schwachstelle in Apples Webkit hebelt Privatsphäre aus

Sicherheitsforscher warnen vor einer Schwachstelle im Webkit von Apple. Wie "Bleeping Computer" berichtet, könnte diese dazu missbraucht werden, das Surfverhalten und den Browserverlauf von Nutzerinnen und Nutzern auszulesen. Betreiberinnen und Betreiber entsprechend präparierter Websites können so etwa herausfinden, mit welchen Google-Konten ihre Opfer angemeldet sind.

Bug steckt in IndexedDB-API

Konkret steckt der Fehler in Apples Implementation der IndexedDB-API, heisst es bei Bleeping Computer. Websites nutzen die Schnittstelle, um Daten auf dem Gerät ihrer Besucherinnen und Besucher zu speichern. Diese Datenbanken sollten eigentlich nur für die jeweilige Website zugänglich sein.

Aufgrund der Schwachstelle ist dies im Fall von Apple-Systemen jedoch nicht ganz der Fall. Hier kann aktuell jede beliebige Website zumindest die Datenbanknamen, die von anderen besuchten Websites erstellt wurden, abfragen. Typischerweise enthalten diese Datenbanknamen nicht nur den Namen der Website, sondern oft einen zum Benutzeraccount passenden String.

Noch gibt’s kein Sicherheits-Update

Von der Schwachstelle betroffen sind alle Webbrowser, die Apples aktuelles Webkit verwenden. Im Falle des Betriebssystems MacOS ist dies der Safari-Browser. Auf iPads und iOS sind auch die Browser dritter betroffen, darunter Brave oder Google Chrome.

Dokumentiert wurde die Schwachstelle von FingerprintJS. Die dortigen Sicherheitsforscher stellen auch eine Demo-Website zur Verfügung, die die Auswirkungen der Schwachstelle aufzeigt.

Aktuell gibt es kein Sicherheits-Update, welches die Sicherheitslücke schliesst. Laut FingerprintJS verhindern die in Safari eingebauten Massnahmen zum Schutz vor User-Tracking einige bösartige Datenbankzugriffe. Dieser Schutz könne mittels Ad-Blockern weiter erhöht werden, schreiben die Forscher.

Eine weitere Schutzmöglichkeit sind private Browserfenster. Laut FingerprintJS sind auch diese von der Schwachstelle betroffen. Allerdings lassen sich hier nur die Browser-Aktivitäten des aktuell geöffneten Tabs abgreifen.

Inzwischen behoben wurde eine Schwachstelle in Apples Smarthome-Framework Homekit. Hier konnte ein überlanger Gerätenamen iOS-Geräte ausser Gefecht setzen, wie Sie hier lesen können.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehratrategien.

Webcode
DPF8_243445