Er is een grote bug in Safari ontdekt die je browseractiviteiten en persoonlijke gegevens van je Google-account lekt, zo blijkt uit een analyse van experts. Apple is nu op de hoogte en werkt aan een oplossing.
Eigenlijk schandalig dat ze het niet AL hebben gerepareerd. Dit speelt als sinds eind november. Omdat Apple het nog niet gefixt heeft is het naar buiten gebracht. Er is nog veel mis bij Apple’s bug bounty afdeling.
> Lijkt me dat, zeker het in de publiciteit gebracht is, Apple dit probleem snel zag gaan fixen.
Eigenlijk schandalig dat ze het niet AL hebben gerepareerd. Dit speelt als sinds eind november. Omdat Apple het nog niet gefixt heeft is het naar buiten gebracht. Er is nog veel mis bij Apple’s bug bounty afdeling.
Die bounty afdeling is vast op orde. Het is meer de prioriteit die Apple het repareren van bugs toekent. Dat stond nooit hoog op de lijst. Voorstel: alle csam ontwikkelaars naar de afdeling bug fix. De volgende bug maakt het mogelijk via de csam functie de complete telefoon over te nemen. Kun je op wachten.
Vladimir
@Jaap Couro: Ik moet je helaas teleurstellen maar het antwoord is nee. Apple heeft niet haar bounty programma op orde. Er zijn talloze developers/exploit finders die hier over klagen. Zoek het maar eens op, Apple doet regelmatig lange tijd niets met de gevonden bugs.
Het valt wel mee als ik de bron van het artikel goed lees en interpreteer met mijn webdev kennis:
Als ik een website bezoek, bv iCulture.nl, dan worden in alle tabbladsessies lege databases aangemaakt met de naam “iCulture.nl”.
Websites in die andere tabbladen kunnen dan zien dat ik iCulture.nl bezocht heb. Tenminste, als de websites deze bug specifiek gebruiken. Daardoor dienen ze de website aan te passen. Dan kunnen ze achterhalen welke website je bezocht hebt. Meer niet. Niet specifieke pagina’s bijvoorbeeld.
Waar het bij Google mis gaat, is dat je Google-ID in de naam van die database staat. Dus dan weten die websites in de andere tabbladen ook wat je Google ID is.
Dit is echt alles. Er worden geen andere gegevens gelekt.
De bron die ik gelezen hebt, vind je overigens onderaan het artikel. Voor als je interesse hebt 😀
(Red.) Artikel bijgewerkt nadat duidelijk is dat Apple aan een oplossing werkt.
Joop de Groot
Waarom gebruikt iemand überhaupt iets van Google. Ik zie reacties over CSAM vanwege privacy gevoeligheid, en dan wel nog Google dagelijks gebruiken?
Strebor
@Joop de Groot: Tuurlijk joh, ga de schuld op de Safari gebruiker pinnen, in plaats van op Apple die deze security bug maanden lang genegeerd heeft (en nu het de aandacht heeft ineens wel prio geeft). pfff
Of je nou Google (voor zakelijke Workspace accounts bijvoorbeeld zijn hun voorwaarden zo gek nog niet) of een andere dienst.. Het gaat iemand anders (die dit simpelweg kan uitlezen uit jouw browser) geen mallemoer aan wat jij en ik met onze browsers doen. Punt.
Het is al een hele tijd bekend dat Apple zijn bug bounty afdeling slecht op orde heeft. Er heerst een soort arrogantie, waar dat helemaal niet op zijn plaats is. Ook de belabberde afhandeling van deze bug is daar een prima voorbeeld van.
Scott
Even de test website bekeken, die wil forceren dat ik inlog met een Google account. Dat heb ik al lang niet meer. Ik wist lang geleden al dat je bij Google zelf het product bent en je gegevens niet veilig zijn. Blijkbaar hebben mensen zonder Google account dus geen last van deze bug, als ik het goed heb begrepen.
Helpt uitloggen bij Google accounts en wissen van je website data ook niet?
Lijkt me dat, zeker het in de publiciteit gebracht is, Apple dit probleem snel zag gaan fixen.
Als je uitgelogd bent dan werkt het niet. Maar als je eerder ingelogd was, kan al wel veel data onderschept zijn
Eigenlijk schandalig dat ze het niet AL hebben gerepareerd. Dit speelt als sinds eind november. Omdat Apple het nog niet gefixt heeft is het naar buiten gebracht. Er is nog veel mis bij Apple’s bug bounty afdeling.
Die bounty afdeling is vast op orde. Het is meer de prioriteit die Apple het repareren van bugs toekent. Dat stond nooit hoog op de lijst. Voorstel: alle csam ontwikkelaars naar de afdeling bug fix. De volgende bug maakt het mogelijk via de csam functie de complete telefoon over te nemen. Kun je op wachten.
@Jaap Couro: Ik moet je helaas teleurstellen maar het antwoord is nee. Apple heeft niet haar bounty programma op orde. Er zijn talloze developers/exploit finders die hier over klagen. Zoek het maar eens op, Apple doet regelmatig lange tijd niets met de gevonden bugs.
Ik heb geen Google account, NEXT!
Precies!
Het valt wel mee als ik de bron van het artikel goed lees en interpreteer met mijn webdev kennis:
Als ik een website bezoek, bv iCulture.nl, dan worden in alle tabbladsessies lege databases aangemaakt met de naam “iCulture.nl”.
Websites in die andere tabbladen kunnen dan zien dat ik iCulture.nl bezocht heb. Tenminste, als de websites deze bug specifiek gebruiken. Daardoor dienen ze de website aan te passen. Dan kunnen ze achterhalen welke website je bezocht hebt. Meer niet. Niet specifieke pagina’s bijvoorbeeld.
Waar het bij Google mis gaat, is dat je Google-ID in de naam van die database staat. Dus dan weten die websites in de andere tabbladen ook wat je Google ID is.
Dit is echt alles. Er worden geen andere gegevens gelekt.
De bron die ik gelezen hebt, vind je overigens onderaan het artikel. Voor als je interesse hebt 😀
(Red.) Artikel bijgewerkt nadat duidelijk is dat Apple aan een oplossing werkt.
Waarom gebruikt iemand überhaupt iets van Google. Ik zie reacties over CSAM vanwege privacy gevoeligheid, en dan wel nog Google dagelijks gebruiken?
@Joop de Groot: Tuurlijk joh, ga de schuld op de Safari gebruiker pinnen, in plaats van op Apple die deze security bug maanden lang genegeerd heeft (en nu het de aandacht heeft ineens wel prio geeft). pfff
Of je nou Google (voor zakelijke Workspace accounts bijvoorbeeld zijn hun voorwaarden zo gek nog niet) of een andere dienst.. Het gaat iemand anders (die dit simpelweg kan uitlezen uit jouw browser) geen mallemoer aan wat jij en ik met onze browsers doen. Punt.
Het is al een hele tijd bekend dat Apple zijn bug bounty afdeling slecht op orde heeft. Er heerst een soort arrogantie, waar dat helemaal niet op zijn plaats is. Ook de belabberde afhandeling van deze bug is daar een prima voorbeeld van.
Even de test website bekeken, die wil forceren dat ik inlog met een Google account. Dat heb ik al lang niet meer. Ik wist lang geleden al dat je bij Google zelf het product bent en je gegevens niet veilig zijn. Blijkbaar hebben mensen zonder Google account dus geen last van deze bug, als ik het goed heb begrepen.