Apples iOS 15.3-Update behebt kritischen Safari-Sicherheitsfehler

Apple hat gerade iOS 15.3 veröffentlicht, und obwohl dieses neueste Update keine wesentlichen neuen Funktionen hinzufügt, behebt es mindestens eine kritische Sicherheitslücke. Anfang dieses Monats fand der Softwareentwickler Martin Bajanik von FingerprintJS eine ernsthafte Schwachstelle in Safari 15, dem in iOS 15 und iPadOS 15 enthaltenen Browser, die Informationen zum Browserverlauf und sogar Anmeldeinformationen von Onlinediensten, die eine Person verwendet, wie Google, preisgeben könnte. YouTube, Amazon und Websites, die WordPress verwenden.

Wie Bajanik erklärt, verwenden viele Websites eine API namens IndexedDB , um Browser wie Safari und Chrome aufzufordern, Informationen in einer lokalen Datenbank auf dem Gerät einer Person zu speichern. Unter normalen Umständen sollte eine bestimmte Website nur Informationen über die von ihr erstellten Datenbanken anfordern können – alle anderen sollten für sie unsichtbar sein.

Leider hat sich herausgestellt, dass der Safari-Browser in iOS 15 diese Regeln nicht genau eingehalten hat. Obwohl es keine in diesen Datenbanken gespeicherten Informationen herausgab, stellte es jeder Website, die nachfragte, gerne eine vollständige Liste aller lokalen Datenbanken zur Verfügung.

Obwohl dies oberflächlich betrachtet relativ harmlos klingen mag, besteht das Problem darin, dass viele Dienste vertrauliche Informationen für diese Datenbanknamen verwenden. Beispielsweise verwendet Google eine interne eindeutige und benutzerspezifische Kennung, mit der jeder, der in sein Google-Konto eingeloggt ist, „eindeutig und genau identifiziert“ werden kann. Bajanaik merkt an, dass diese Google-Benutzer-ID sogar in Google-APIs eingespeist werden kann, um öffentliche Informationen über den Kontoinhaber wie seinen Namen und sein Profilbild abzurufen.

Um die Sache noch schlimmer zu machen, ermöglicht dies nicht nur einer bösartigen Website, die Identität eines Benutzers zu erfahren, sondern es kann auch verwendet werden, um eine Liste mehrerer Konten zu erhalten, die derselben Person gehören. Dies könnte in Situationen, in denen jemand ein anonymes Konto verwendet, das in keiner Weise mit seiner persönlichen Identität verbunden ist, zu einer ernsthaften Verletzung der Privatsphäre führen. Ein Hacker, der diesen Fehler ausnutzt, könnte eine Verbindung herstellen, indem er entdeckt, dass dieselbe Person Informationen für beide Konten in ihrem Browser gespeichert hat.

Der Fehler scheint auch leicht auszunutzen zu sein. Bajanaik erklärt, dass „eine Registerkarte oder ein Fenster, das im Hintergrund läuft und die IndexedDB-API kontinuierlich nach verfügbaren Datenbanken abfragt, in Echtzeit erfahren kann, welche anderen Websites ein Benutzer besucht“, sodass Hacker Daten über Ziele sammeln können, indem sie einfach bösartigen Code in a einschleusen scheinbar legitime Website.

Sicherheitsfixes in iOS 15.3

Verglichen mit den aufregenden Funktionen, die in den letzten paar großen iOS-Versionen eingeführt wurden, mag das iOS 15.3-Update dieser Woche ziemlich langweilig erscheinen, aber es sollte nicht auf die leichte Schulter genommen werden. Tatsächlich ist es sogar noch wichtiger, so schnell wie möglich auf iOS 15.3 zu aktualisieren.

iOS 15.3 behebt nicht nur diese besonders hässliche Sicherheitslücke in Safari, sondern laut den Versionshinweisen von Apple gibt es neun weitere wichtige Sicherheitsfixes, darunter eine, die laut Apple „möglicherweise aktiv ausgenutzt wurde“.

Andere in iOS 15.3 behobene Sicherheitslücken umfassen einen iCloud-Fehler, der es Anwendungen ermöglichen könnte, die Sicherheit zu umgehen und auf die Dateien eines Benutzers zuzugreifen, sowie mehrere andere Szenarien, in denen bösartige Anwendungen Wege finden könnten, Root-Rechte zu erlangen oder willkürlich Code auszuführen, um Dinge zu tun, die sie nicht tun sollten erlaubt zu tun.