Selskapet FingerprintJS, som driver med oppdagelse av nettsvindel, har gjort et ganske bemerkelsesverdig funn.

Det viser seg nemlig at Apples nettleser, Safari, både på MacOS, iOS og iPadOS har et sikkerhetshull som tillater nettsteder å finne ut av hvilke andre nettsteder du har åpne i andre faner. Ja, de kan til og med få fatt i Google-ID-en din dersom du er innlogget hos Google.

Siden alle nettlesere på iOS og iPadOS er nødt til å benytte seg av samme teknologi som Apples egen Safari-nettleser, gjelder sikkerhetshullet samtlige nettlesere på disse plattformene.

Deles på tvers

Litt mer teknisk handler det om hvordan Apple har implementert IndexedDB, et nettleser-API mange nettsteder bruker for å lagre større mengder data lokalt hos brukeren. Dette skal egentlig følge prinsippet om «same origin policy», altså der data som lagres av ett nettsted ikke skal kunne leses av et annet nettsted.

I Safari opprettes det uheldigvis en tom database som identifiserer nettstedet (og i enkelte tilfeller brukeren) i alle åpne faner hver gang et nettsted kommuniserer med «sin» database. Dermed kan de andre åpne fanene få tilgang på navnet på denne databasen og vil derfor kunne hente ut informasjon om brukeren, altså om hvilke andre nettsteder som er åpne i nettleseren og eventuelle ID-er for innlogging.