I höstas förra året fick Safari sin senaste stora uppdatering i form av Safari 15, kort följt av Safari 15.1 en månad senare. Uppdateringen ser dock inte ut att ha gått helt enligt plan på säkerhetsfronten. Enligt en nyankommen rapport från Fingerprintjs innehåller uppdateringen ett allvarligt säkerhetsproblem, där information om användaren kan läcka ut och användas av illasinnade aktörer.

Just detta säkerhetshål rapporterades så sent som i november förra året, genom Webkit Bug Tracker, men inga åtgärder har skett från Apples sida än. Problemet härstammar från en till synes misslyckad implementation av Indexeddb, vars syfte är att lagra information lokalt i webbläsaren. I normala fall agerar en webbläsare med detta index efter en så kallad same-origin-policy. Syftet med denna policy är att isolera varje enskild flik, där en flik inte ska ha tillgång till information som hanteras i andra flikar. I fallet med Safari 15 ignoreras denna policy, vilket låter flikar interagera med varandra utan användarens vetskap.

Det innebär i praktiken att en webbplats exempelvis kan urskilja data från andra lagrade webbplatser, vilket potentiellt kan röja en användares identitet. Fingerprintjs hävdar att om en webbplats använder sig av Googles tjänster, likt ett Google-konto, YouTube eller Google Kalender, kan användarens ID för dessa tjänster hämtas. Genom användarens ID kan sedan profilbilder och annan publik information som identifierar användaren spridas mellan flikar.

I skrivande stund finns det inte mycket en slutanvändare kan göra åt saken, annat än att byta webbläsare till problemet är åtgärdat. Det kan dock visa sig vara problematiskt beroende på vilken enhet som nyttjas. Detta då Apple valt att bannlysa utomstående parters webbläsarmotorer i sina telefoner, vilket lämnar IOS-användare sårbara oberoende av vilken webbläsare som används.

Fingerprintjs har snickrat ihop en demo-webbsida som kan besökas. Här visas om webbläsaren är sårbar för denna typ av läckage samt en lista över webbplatser som direkt kan nyttja denna exploatering. Listan innehåller bland annat stora namn som Slack, Bloomberg, Dropbox och Xbox webbplats. Därtill har Fingerprinjs även en video där de går igenom problemet, förklarar hur exploatering går till samt hur demo-webbsidan kan användas för att identifiera eventuella läckor.

Har du uppdaterat till senaste versionen av Safari, och bryr du dig om vilken information en hemsida hanterar? Diskutera gärna i tråden!