Anders als Android wird iOS seit jeher als weitestgehend sicheres Betriebssystem gehandelt. Expert:innen sind sich in diesem Punkt weitestgehend einig. Dennoch treten auch in der iPhone-Sicherheit hin und wieder Lücken auf. Diese Fehler können deine Daten im Ernstfall öffentlich zugänglich machen. Ein Sicherheitsforscher hat einen solchen nun mitunter in der Safari-App für iOS entdeckt.
iPhone-Sicherheit gefährdet
Betroffen sei mitunter die Version Safari 15 für macOS, sowie alle Browser, die auf iOS und iPad OS laufen. Die Programmschnittstelle IndexedDB sorgt dort für ein nicht unwesentliches Sicherheitsrisiko,. „Jedes Mal, wenn eine Webseite mit einer Datenbank interagiert, wird eine neue Datenbank mit demselben Namen in allen anderen aktiven Frames, Tabs und Fenstern […] erstellt“, erklärt der Softwareentwickler Martin Bajanik. Für die iPhone-Sicherheit geht damit ein Problem einher.
Fenster und Registerkarten würden sich normalerweise dieselbe Sitzung teilen. Dies sei nur dann nicht der Fall, wenn du beispielsweise dein Profil wechselst oder ein privates Fenster öffnest. Will heißen: Webseiten können in Erfahrung bringen, welche Seiten du noch besuchst. Das liegt daran, dass die Datenbanken, die während der Interaktion mit der IndexedDB entstehen, im Normalfall eindeutig und Website-spezifisch sind. Viele von ihnen verwenden darüber hinaus benutzerspezifische Kennungen im Namen der jeweiligen Datenbank.
„Authentifizierte Nutzer können eindeutig und präzise identifiziert werden. Einige bekannte Beispiele sind YouTube, Google Calendar oder Google Keep. Alle diese Websites erstellen Datenbanken, die die authentifizierte Google-Nutzer-ID enthalten, und für den Fall, dass der Nutzer in mehreren Konten angemeldet ist, werden Datenbanken für alle diese Konten erstellt.“
Martin Bajanik (via FingerprintJS)
Google ID verrät deine Identität
Verwenden die Webseiten etwa deine Google ID, ist es im Grunde um deine Privatsphäre und deine iPhone-Sicherheit geschehen. Mit ihrer Hilfe können dich Dienste nämlich einem konkreten Konto zuordnen, in dem möglicherweise sogar dein Klarname enthalten ist. Verfügst du dort über ein Profilbild, ist auch dieses zugänglich.
Das bedeute nicht nur, „dass nicht vertrauenswürdige oder bösartige Websites die Identität eines Nutzers erfahren können“. Vielmehr noch ermögliche diese Schwachstelle in der iPhone-Sicherheit die Verknüpfung mehrerer separater Konten, die von einer und derselben Person verwendet werden.
Ein Patch für die Schwachstelle ist inside digital zufolge bereits in Arbeit. Unklar ist zum derzeitigen Zeitpunkt, wann du das entsprechende Update herunterladen können wirst.
Quelle: FingerprintJS; inside digital