Iedereen met een Apple iPhone, iPad of Mac is vandaag vatbaar voor hackers dankzij een nieuwe kwetsbaarheid binnen Safari.
Elk Apple-toestel bevat vandaag een significant privacy-probleem binnen de Safari internetbrowser. Securityspecialist FingerprintJS ontdekte eind november 2021 een kwetsbaarheid waarbij hackers toegang kunnen krijgen tot de browserhistoriek en Google-accountinformatie. Apple kreeg een deadline opgeplakt om het probleem op te lossen, maar dat is hen niet gelukt. Als gevolg wordt de kwetsbaarheid nu publiek gemaakt.
Elke Safari-browser (versie 15 of ouder) is kwetsbaar, net als alle andere externe internetbrowsers binnen iOS 15 en iPadOS 15. De fout zit hem in het IndexedDB framework dat data bewaart voor heel wat internetbrowsers. IndexedDB schendt de ‘same-origin’-regel die voorkomt dat documenten en scripts van de éne locatie (een domein of protocol) interageren met content van een andere. Hiermee kunnen juist gecodeerde websites Google-informatie deduceren van aangemelde gebruikers evenals de historiek van open tabbladen en vensters.
De kwetsbaarheid geeft malafide hackers de mogelijkheid om data te ontfutselen zoals je Google gebruikersnaam, profielfoto en andere achtergrondinformatie. Die kan gebruikt worden om een profiel van je te maken voor bijvoorbeeld persoonlijke phishingcampagnes.
De enige manier om het probleem te omzeilen, is om op je Mac, iPhone of iPad JavaScript uit te schakelen of om op je Mac een andere internetbrowser te gebruiken. Apple heeft voorlopig nog geen commentaar gegeven op het probleem waardoor het bijgevolg niet duidelijk is wanneer er een veiligheidsupdate wordt uitgerold om het probleem te mitigeren.