Private-Browsing-Bug in Safari speichert noch immer URLs
Alexander Trust, den 13. März 2015
In Safari gibt es einen Private-Browsing-Bug, der beim Surfen in privaten Fenstern den URL jeder besuchten Seite abspeichert. Selbst die aktuellen Vorab-Versionen des Browsers für Windows und OS X verfügen noch immer über diesen Fehler.
Es ist ein Fehler in Apples Browser Safari, der schon seit Jahren bekannt ist. Doch bis zum heutigen Tag wurde er nicht behoben, der Private-Browsing-Bug. Schuld ist ein nicht konsequent ausgeführter Cache-Mechanismus für Favicons von Webseiten, der jeden URL zu einer Webseite in einer Datei namens „WebpageIcons.db“ speichert. Mac-Nutzer finden die Datei im Ordner „~/Library/Safari/“.
Problematisch ist zweierlei: Eigentlich sollte privates Surfen privat sein. Alle Daten eine Session in einem privaten Fenster sollten nach dem Schließen desselbe rückstandlos gelöscht werden. Doch in der erwähnten Datei sind eben die URLs aufgeführt, natürlich nicht in der Art, dass man einen Verlauf daraus rekonstruieren könnte, aber doch für jeden zugänglich. Das ist gleichzeitig das zweite Problem. Denn diese Datei ist nicht verschlüsselt, die Daten in ihr nicht in irgendeiner Form chiffriert, sondern im Format einer SQLite-Datenbank abgespeichert.
Private-Browsing-Bug jahrelang bekannt
2013 wurde im EURASIP Journal on Information Security aus dem Springer-Verlag ein Beitrag über forensische Browser-Analyse veröffentlicht, der den Fehler explizit thematisierte. Seinerzeit konstatierten die Autoren Donny J. Ohana und Narasimha Shashidhar, dass die „WebpageIcons.db“-Datei Protokoll aller besuchten Webseiten darstellt, zusätzlich zu einigen weiteren Informationen.
AppleInsider hat Safari unter OS X 10.10.3 Beta 3 auf diesen Fehler hin überprüft. Wir von Macnotes können bestätigen, dass die URLs aus Surf-Sessions in privaten Fenstern noch immer über die ungesicherte Datei einsehbar sind.
Nutzer können die Daten löschen, indem sie entweder die Webseiten-Historie und zugehörige Daten über den Browser zum Löschen anweisen, oder aber einfach die erwähnte Datei in den Papierkorb schieben. Sie wird dann einfach vom Browser neu erstellt.