Brugere af Apples browser på Mac, iPadOS og iOS bør opdatere Safari så snart en ny version er på vej. Dele af browserhistorikken og personlige informationer kan være i fare.
Brugere af Apples browser på Mac, iPadOS og iOS bør opdatere Safari så snart en ny version er på vej. Dele af browserhistorikken og personlige informationer kan være i fare.Hvad er det første, du ville slette, hvis du skulle lade en anden bruge din computer uden at have tid til geninstallere styresystemet? Formentligt ville du sørge for at logge ud af alting som det første, så vedkommende ikke kan få fat i dine passwords, hvis det viser sig at være en person uden rent mel i posen.
Men dernæst er det formentlig din browserhistorik. Og nej, det er NATURLIGVIS ikke fordi, du besøger websider, du ikke har lyst til at lade andre vide, at du besøger. Det er jo mere princippet i, at nogen kunne misforstå, hvorfor du besøger visse sider, eller drage konklusioner fra kombinationen af sider…ikke?
I vore dage føles browserhistorik nærmest som en intim del af kroppen. Og derfor er det rigtig ubehageligt, når andre kan få adgang til den, eller den bliver lagt til offentligt skue. Men det er netop, hvad der lige er sket for alle Safari-brugere.
Sikkerhedsfirmaet FingerprintJS, hvis koncept er sikkerhedsforanstaltninger i den lokale browser i stedet for på firmaniveau, har fundet ud af, at en fejl i Safari kan give udefra kommende informationer om dele af din browserhistorik…men også om visse af dine personlige informationer, hvis du er logget ind i Google.
Adgang til databaser
Ifølge et blogindlæg fra FingerprintJS er det en fejl i Safaris implementering af IndexedDB på både Mac og iOS, der er tale om. IndexedDB er W3C-organisationens standardmetode til at lade webbrowsere styre databaser med javascript-objekter i JSON-formatet.
Sagt lidt simplere er en af standardmåderne, hvorpå webbrowsere henter visse af elementerne frem, når de skal vise en hjemmeside. Disse elementer ligger typisk kan gemt i adskillige små databaser på din maskine, som browser-app’en så vedligeholder ved at benytte IndexedDB.
Disse små databaser et som regel knyttet til en eller anden større tjeneste, der arbejder på din maskine. Det kunne f.eks. være Google Services, som du bruger, hvis du f.eks. bruger Gmail eller Google Calendar, og derfor logger ind i Google, når du anvender et Google-produkt.
Lige netop Google er et problem for Safaris implementering af IndexedDB. Googles databaser er nemlig opkaldt efter de forskellige brugere, der til tider logger ind via den lokale browser. Og Safaris proces for at få adgang til disse Google-databaser er ikke beskyttet godt nok. Sikkerhedshullet, som FingerprintJS har fundet kan simpelthen hive brugernavnet ud af processen, samt dele af browserhistorikken.
Prøv en sikkerhedsbrist-demo
Som FingerprintJS viser i en demo af sikkerhedsbristen på deres website, kan malware ikke bare tage fat i dit brugernavn, men også få adgang til andre af dine personlige Google-informationer. I demoen viser FingerprintJS for eksempel, hvordan de kan få fat i dit profilbillede. Men sikkerhedsbristen går også ud over mange andre tjenester end Googles.
Hvis hackere sætter gang i en større, automatiseret proces, der skraber alt hjem, der kan hentes via sikkerhedshullet, kan der altså blive hentet en hel del informationer, som hackere kan sammensætte og potentielt bygge en profil på en hacket bruger.
Derfor var Apple også hurtigere end normalt til at prøve at fikse problemet. Apple siger selv mandag, at hullet er lappet, men det mener FingerprintJS ikke er helt rigtigt. På deres blog skriver de at Apple karakteriserer problemet som løst på sine supportsider, men at problemet vedbliver på folks maskiner indtil en ny version af Safari bliver sluppet fri og sendt ud til folk.
Det er derfor nok en god idé at holde øje med opdateringer til Apples browser i de kommende dage.
