Er is een bug ontdekt in WebKit, de motor van Safari op de Mac en alle browsers in iOS en iPadOS. Daardoor kunnen kwaadwillenden mogelijk je geschiedenis en je identiteit achterhalen. Dat is  onder andere het geval als je services van Google gebruikt.

Deze data wordt opgeslagen in een database, die heel toepasselijk IndexedDB heet. Het probleem is dat dit door websites met verkeerde bedoelingen uitgelezen kan worden. Krijgt iemand die database in handen dan weten ze precies welke website je bezocht hebt, en bij sommige services ook je inlognaam.


Dat laatste is het geval bij bijvoorbeeld YouTube, Google Calendar of Google Keep, omdat die je inlognaam ook in diezelfde database vastleggen.

Alleen Safari 15 heeft hier last van, in oudere versies van Apple’s browser speelt dit niet. Wil je jezelf in de tussentijd hiertegen beschermen dan is de enige oplossing om voorlopig een andere browser te gebruiken, Safari in privé-modus gebruiken helpt niet.

De verwachting is dat er binnenkort een update zal komen die dit probleem zal oplossen. Vooral op een iPhone of een Pad is dat extra belangrijk, omdat daarop alleen maar browsers kunnen draaien  die van WebKit gebruik maken, zij hebben ook allemaal last van dit probleem.

Meer informatie over deze bug is te vinden op Exploiting IndexedDB API information leaks in Safari 15 en ook op Safari 15 IndexedDB Leaks is meer hierover te vinden.


met dank aan forumlid ‘puk1980’, die dit nieuws als eerste meldde op het forum


Update: inmiddels heeft Apple een update klaarstaan, maar omdat Safari alleen een update krijgt samen met het besturingssysteem zullen we moeten wachten op updates voor macOS, iOS en iPadOS.


Update 2: Apple heeft inmiddels Release Candidates voor ontwikkelaars uitgebracht voor zowel macOS Monterey 12.2 als iOS en iPadOS 15.3 waarin deze bug opgelost is.

Waarschijnlijk komen deze updates komende week uit.



#Safari #Bug #Privacy

Discussie op HN, HN

Niet zo fraai, Apple .

Why is this leak bad?

The fact that database names leak across different origins is an obvious privacy violation. It lets arbitrary websites learn what websites the user visits in different tabs or windows. This is possible because database names are typically unique and website-specific. Moreover, we observed that in some cases, websites use unique user-specific identifiers in database names. This means that authenticated users can be uniquely and precisely identified. Some popular examples would be YouTube, Google Calendar, or Google Keep.

No Google. No problem.

No Google. No problem.

Ligt wel iets gecompliceerder…

How to protect yourself

Unfortunately, there isn’t much Safari, iPadOS and iOS users can do to protect themselves without taking drastic measures. One option may be to block all JavaScript by default and only allow it on sites that are trusted. This makes modern web browsing inconvenient and is likely not a good solution for everyone. Moreover, vulnerabilities like cross-site scripting make it possible to get targeted via trusted sites as well, although the risk is much smaller. Another alternative for Safari users on Macs is to temporarily switch to a different browser. Unfortunately, on iOS and iPadOS this is not an option as all browsers are affected.

The only real protection is to update your browser or OS once the issue is resolved by Apple. In the meantime, we hope this article will raise awareness of this issue.

I know. En erg slordig van Apple, zeker omdat het al geweten is van november.

No Google. No problem.

Ik heb het veel beter geregeld: geen Safari, geen probleem. Ik gebruik JUIST Google (Chrome) op mijn laptopn

Apple is bezig met een fix

https://github.com/WebKit/WebKit/commit/f73005ed826014988f8ee447de23927749fb56e5

Er is een update bij dit nieuwsbericht gezet.

Er is een tweede update bij dit nieuwsbericht gezet.

Artikel op Ars:
https://arstechnica.com/information-technology/2022/01/safari-and-ios-bug-reveals-your-browsing-activity-and-id-in-real-time/

Discussie op HN