Uppdatering (2022-01-19):

Apple jobbar på fix

Ändringar i Webkit som ska lösa den allvarliga säkerhetsbristen i Apples implementering av javascript-api:et Indexed DB har dykt upp på Github, rapporterar Macrumors.

Fixet ligger i en funktion som listar tillgängliga databaser och handlar om att enbart lista de databaser vars ursprung (webbplats) är detsamma som den webbplats som kör funktionen. Om exempel.com vill lista alla tillgängliga databaser får den alltså bara till svar de databaser som har skapats av exempel.com och inte av till exempel google.com eller netflix.com.

Som Macrumors påpekar kan Apple inte släppa en uppdatering av enbart Webkit utan vi måste vänta på systemuppdateringar av IOS, Ipad OS och Mac OS.

Vi kan också tillägga att Fingerprint JS, som upptäckte buggen, har bekräftat att den inte påverkar äldre systemversioner som IOS 14.


Tidigare:

En bugg har upptäckts i Safari 15 som kan läcka viss aktivitet i webbläsaren, samt göra viss personlig information kopplat till ditt Google-konto synligt för andra, något som Fingerprint JS uppmärksammat. Bland annat besökta webbsidor kan bli synliga för obehöriga.

Problemet ligger i hur Safari för Mac och IOS implementerar Indexed DB, ett api som sparar data i webbläsaren.

Apple ska ha uppmärksammats på problemet redan i slutet av november, men ännu inte gjort något åt det. Detta trots att det utgör en potentiellt allvarlig integritetsbrist.

Läckan

När du går till en webbplats som använder en lokal databas i en ny flik skapas en ny tom databas med samma namn i alla övriga flikar och fönster (utom privata).

De flesta sajter som använder dessa databaser ger databasen ett namn som gör det uppenbart vilken webbplats det är. Resultatet är att alla andra öppna sajter teoretiskt kan se vilken webbplats du precis har öppnat. När du stänger fliken raderas dessa databaser, men då är det redan för sent.

Värst med Google

Det slutar tyvärr inte där. Vissa webbplatser använder dessutom unika namn som kan kopplas till en viss användare. Google är det största och värsta exemplet här. Google använder nämligen ett internt använder-id som databasnamn, vilket innebär att en sida som har programmerats för att utnyttja Safari-buggen får reda på ditt Google-kontos interna id-kod.

Som om inte det var nog skapas dessutom en databas för varje Google-konto du är inloggad på. Är du inloggad på till exempel ett privat och ett jobbkonto får den spionerande sajten reda på båda och kan spara undan kopplingen mellan dessa.

Vår rekommendation

Tills Apple har fixat buggen rekommenderar vi att du inte är inloggad på Google alls i Safari. Buggen är enkel att utnyttja och kommer garanteras användas av skrupelfria utvecklare för att skapa databaser över användares unika Google-id:n.

Faktum är att användare som bryr sig om integriteten kan göra bäst i att enbart använda nya privata fönster för varje sida de besöker, eller tills vidare använda en alternativ webbläsare som också tar integritet på allvar, som Firefox eller Brave.

Här kan du läsa mer, och även testa ett demo som visar hur läckan går till (utan att faktiskt bli spionerad på).