Safari läcker webb­historik

Säkerhetsforskare hos FingerprintJS har upptäckt en sårbarhet i webbläsarmotorn som Apples webbläsare Safari bygger på. Sårbarheten gör att obehöriga webbplatser kan se delar av användarens surfhistorik. Ifall användaren är inloggad på Googles tjänster kan sårbarheten också läcka användarens unika Google-ID, vilket kan utnyttjas för att spåra användaren mellan webbplatser. FingerprintJS har satt upp en webbplats som demonstrerar sårbarheten. Där ser vi hur demonstrationswebbplatsen avslöjar vårt Google-ID och att vi har besökt Dropbox.

Webbplatsen Safari Leaks visar vårt Google-ID och att vi har besökt Dropbox.
Webbplatsen Safari Leaks visar hur sårbarheten kan utnyttjas.

Bakgrunden till sårbarheten är en brist i sättet som Safaris webbläsarmotor Webkit separerar data som olika webbplatser lagrar lokalt i besökarens webbläsare. Två olika webbplatser ska aldrig kunna komma åt varandras lokala lagring, något som sårbarheten i detta fall möjliggör.

Sårbarheten rapporterades till Apple redan i november, men det var först i söndags som Apple åtgärdade den internt. Detta framgår av FingerprintJS artikel. Apple har tyvärr inte släppt någon ny version av Safari än. I väntan på en sådan är det fritt fram för angripare att utnyttja sårbarheten. Vi rekommenderar därför alla läsare som använder Safari på Mac OS att byta webbläsare, till exempel till Mozilla Firefox eller Microsoft Edge.

Apples konkurrensbegränsning lämnar IOS utan alternativ

Tyvärr finns ingen lösning för IOS (eller för Ipad OS). Även om Apple tillåter andra webbläsare på IOS tvingar de alla webbläsarutvecklare att använda Webkit. Det innebär att även IOS-versionerna av Firefox, Edge och Chrome är drabbade. Eftersom alla IOS-webbläsare bygger på Webkit finns det ingen webbläsare till Iphone eller Ipad som inte läcker surfhistorik. Läckaget går enbart att minimera genom följande åtgärder:

  • surfa i webbläsarens inkognitoläge (privat läge)
  • öppna en ny flik för varje webbplats
  • var inte inloggad på någon av Googles tjänster i webbläsaren.

Ifall Apple hade tillåtit andra webbläsarmotorer i sin appbutik hade problemet varit lika lätt avhjälpt på IOS som på Mac OS. Konkurrenten Google tillåter andra webbläsarmotorer för webbläsare i Google Play. Microsoft ändrade sin policy i höstas från att tidigare ha krävt att webbläsarna i Microsoft Store använde Windows webbläsarmotor. Det är därför ”riktiga” Firefox med Firefox egna webbläsarmotor Gecko/Quantum finns i både Google Play och Microsoft Store. IOS-versionen av Firefox är bara Safari med några bonusfunktioner för bland annat synkronisering av bokmärken och webbläsarhistorik.

Förhoppningsvis kommer Apple att snart släppa en åtgärdad version av Safari. Den kommer då att distribueras som en operativsystemsuppdatering för Mac OS och IOS. Vi uppdaterar denna artikel när den nya Safari-versionen är tillgänglig.

Uppdatering 2022-01-26: Apple har ikväll släppt systemuppdateringar för Mac OS och IOS som åtgärdar integritetsproblemet.

Denna artikel är publicerad under CC BY 4.0-licens med undantag för bilder där en annan fotograf är angiven.

Kommentarer

Delta i diskussionen. Logga in med ditt befintliga konto på Nikka Systems Academy eller skapa ett nytt konto helt gratis.

  1. Aram Rassam

    Stort tack för er artikel!
    Jag är inloggade på Google och har många konto som är öppnade där! Nu är det dags att stänga de

  2. Karl Emil Nikka

    Jag fick frågan om lösenord kan läcka på grund av detta. Nej, lösenord är inte i riskzonen. Än så länge verkar sårbarheten vara ett rent integritetsproblem och inte ett säkerhetsproblem.

Kommentar