Apple patcht Safari-bug die internetactiviteit gebruikers kon blootleggen

Apple heeft iOS 15.3 en iPadOS 15.3 uitgebracht. Deze update bevat verschillende bugfixes en beveiligingspatches, waaronder een oplossing voor een bug in de Safari 15-webbrowser. Daarmee konden websites de internetactiviteit van de gebruiker volgen.

Apple schrijft in zijn patchnotes dat iOS en iPadOS 15.3 'probleemoplossingen en beveiligingsupdates' bevat. Op zijn website meldt het bedrijf dat de update onder meer vier verschillende kwetsbaarheden in de WebKit-browserengine oplost. Daaronder valt de eerdergenoemde bug in Safari 15. Die bug betrof een kwetsbaarheid in de WebKit-implementatie van de IndexedDB-api, waardoor elke website de internetactiviteit van een gebruiker kon volgen en de unieke Google-gebruikers-id verkrijgen. WebKit wordt gebruikt door Safari en alle andere webbrowsers die op iOS beschikbaar zijn.

Verder worden verschillende kwetsbaarheden in ColorSync, iCloud, IOMobileFrameBuffer en de iOS-kernel opgelost. Het lijkt er niet op dat de update verder nieuwe features bevat. Vorige maand bracht Apple iOS 15.2 uit, die onder andere de App Privacy Report en een digitale-erfenisfunctie toevoegde aan het mobiele OS. Later volgde iOS 15.2.1, waarin een HomeKit-kwetsbaarheid werd gedicht. Gebruikers kunnen iOS 15.3 en iPadOS 15.3 installeren via de instellingen, onder 'algemeen' en 'software-update'.

Reacties (44)

DeFeCt 27 januari 2022 09:22

Een hoop argumenten in de comments waarom een update als deze geen 1GB zou moeten zijn. Eentje die ik nog niet las is de carbon footprint van zo'n update. Voor een bedrijf dat prat gaat op heel groen bezig te zijn staat dit nogal haaks op dat verhaal. Ben eigenlijk wel benieuwd of zoiets uit te rekenen is, wat het verschil in energie consumptie is voor een update van 1GB vs. 1MB bijv.

Dennisb1 @DeFeCt • 27 januari 2022 09:32

Denk dat dat een lastige wordt. Hangt bijvoorbeeld ook af van je internet snelheid.

bzzzt

Apple
Apple iPhone

@Dennisb1 • 27 januari 2022 10:21

En van het energieverbruik van een betere compressietechniek.

bartje 26 januari 2022 20:05

Als er alleen een security ding gedaan is of privacy. Waarom is dit dan niet 15.2.2?

Vorige week wette bij mij. V15.2.1 eindelijk de auto update eens. Heb deze altijd aan staan maar als een versie na 30dagen nog niet geüpdatet is die ik dat handmatig.

Maurits van Baerle @bartje • 26 januari 2022 20:14

Ik vermoed dat hij meegerold is met 15.3 die al in vergevorderde staat was. Ze beginnen natuurlijk niet pas aan 15.3 te werken nadat 15.2.1 uit kwam, die zal al een maand of twee in de pijplijn hebben gezeten. Alleen was deze fix dus kennelijk niet op tijd klaar om in 15.2.1 mee te kunnen, dan maar in 15.3.

DefaultError @Maurits van Baerle • 26 januari 2022 21:35

Ik ruik toch wel een programmeurs zweetlucht aan deze update. Gemeld in november 2021 en dus mogelijk al langer actief. Nu dus een fix.

Next in row will be 15.3.1;-) Er valt altijd nog wat te tweaken.

Maurits van Baerle @DefaultError • 26 januari 2022 22:19

Er moest een SameOrigin check toegevoegd worden aan de JavaScript API die met de IndexedDB module praat.

Ik vermoed dat de analyse vijf minuten kostte, de fix een paar uur en het testen dat alles nog steeds werkte in alle denkbare scenario’s een paar weken.

codebeat 26 januari 2022 20:31

Had deze zin eigenlijk veel vermakelijker gevonden: "Safari patcht Apple-bug die internetactiviteit gebruikers kon blootleggen". Want wat ik mij altijd afvraag is wie of wat beschermt tegen wie of wat? Is de vijand iets dat van buiten komt of is dat alles wat het bedrijf al over je weet met tools ingebakken in het OS? Wat is de bedreiging als je al een ingebakken 'afluisteraar' permissie gegeven hebt alles over je te weten te komen? Dat is dan geen bug? Geldt overigens niet alleen voor dit bedrijf hoor. Vind het altijd zo raar dat altijd de boze buitenwereld zo gevaarlijk lijkt te zijn.

Maurits van Baerle @codebeat • 26 januari 2022 21:20

Als het goed begrijp ging de kwetsbaarheid over websites die je bezoekt die via IndexedDB mogelijk kunnen zien welke andere websites je hebt bezocht (en misschien zelfs iets meer over je relatie met die andere site, je UserID bijvoorbeeld).

Ik zeg 'mogelijk' omdat niet alle sites data opslaan in IndexedDB. Als site A wél gebruikt maakt van IndexedDB en site B niet dan kan kwaadaardige site C weten dat je site A hebt bezocht maar niet dat je site B hebt bezocht.

Het 'kwaad' komt dus van websites die voor dit doel zijn opgezet, legitieme websites die het niet zo nauw nemen met ethiek, of goedaardige sites die besmet zijn met kwaadaardige plugins of andere code.

[Reactie gewijzigd door Maurits van Baerle op 23 juli 2024 04:38]

codebeat @Maurits van Baerle • 5 februari 2022 07:07

Het ging niet om een technische uitleg, dat snap ik wel. Lees het nog maar een keer.

Hackus 27 januari 2022 19:47

@AverageNL
dev beta 15.4 is uit nu.
Release notes

Rhinosaur 26 januari 2022 19:47

Een update van >1GB voor een simpele patch. Echt heel onnodig. Apple zou moeten streven naar kleinere updates en zeker ook alle apps via de App Store updaten. Is altijd heel vervelend om een jaar te moeten wachten tot er fatsoenlijke upgrades worden toegevoegd aan iOS.

Verwijderd @Rhinosaur • 26 januari 2022 19:51

Ongelofelijke reactie weer.. Wat denk je dat er niet nog meer fixes in deze patch zitten? En heb een modem verbinding dat 1GB een issue is?

jcbvm

@Verwijderd • 26 januari 2022 20:07

Hoezo ongelooflijk? Ik vind dat hij hier best wel een punt heeft, snap de logica sowieso niet om apps in je OS update te stoppen… is totaal niet logisch.

Los van bovenstaande vind ik het wel belachelijk lang geduurd hebben voor deze in mijn ogen grote kwetsbaarheid.

slijkie @jcbvm • 26 januari 2022 20:14

Omdat niet iedereen een AppleID/Appstore wil gebruiken. (en geloof mij, dat zijn er meer dan je denkt)

Safari, Mail, Messages en Facetime zijn cruciale apps die ook geupdate moeten kunnen worden buiten de appstore voor de mensen die alleen de telefoon voor bellen, smsen en surfen willen gebruiken. (Facetime heb je wel een AppleID nodig, dus dat zou in theorie in de appstore kunnen)

EDIT: toevoeging

[Reactie gewijzigd door slijkie op 23 juli 2024 04:38]

Caayn @slijkie • 26 januari 2022 20:39

Dat zou je opzich prima los kunnen aanbieden als updates zonder direct een systeem update te moeten uitvoeren of via de App Store te gaan.

Windows Updater regelt bijv ook een heleboel updates die niet via de Windows Store lopen of direct een systeem update zijn. Dat Google je verplicht om de Play Store* te gebruiken betekent niet dat dat de enige manier is.

*uiteraard is hier om heen te werken maar niet weggelegd voor de doorsnee gebruiker.

[Reactie gewijzigd door Caayn op 23 juli 2024 04:38]

Rhinosaur @Caayn • 26 januari 2022 20:44

Vind het inderdaad opmerkelijk dat iedereen denkt dat de keuze alleen maar kan vallen voor een App Store app of een complete systeemupdate. Je zou prima de cruciale apps buiten de App Store kunnen updaten via de updater zonder dat het een gigabyte of meer groot is.

Dit is ook onnodig van 15.2 naar 15.3, feitelijk is het alleen deze ene patch. Voor de rest is er qua changelog helemaal niks.

Van een multimiljarden bedrijf verwacht ik meer, geef mij anders maar de optie om het .apk bestand te downloaden en zelf te updaten.

bzzzt

Apple
Apple iPhone

@Rhinosaur • 27 januari 2022 10:25

De security patches die Apple doorgevoerd heeft worden meestal een paar dagen nadat de update live staat bijgewerkt. Tot nu toe is er geen point release geweest zonder een verzameling security patches.

Loller1 @Caayn • 26 januari 2022 20:59

Note: de Microsoft Store werkt apps op je PC ook bij zonder account.

Loller1 @slijkie • 26 januari 2022 20:58

Waarom is dit een argument? Alsof we nog niet de technologie hebben om een app store updates te laten uitvoeren zonder dat daar een account achter moet zitten.

Blizz @slijkie • 27 januari 2022 03:48

Omdat niet iedereen een AppleID/Appstore wil gebruiken.

Er is geen technische reden waarom dat nodig zou zijn voor core apps van macOS. Apple doet dit als bundel omdat Apple zo hun zin wil doordrukken: wil je bugfixes? dan moet je ook macOS en Berichten updaten zodat je de nieuwe anti-CSAM/[insert database van welke overheid of malware dan ook] spionagemechanieken op je macOS krijgt, anders nooit meer bugfixes voor jou. Hetzelfde idee als "we voegen extra emoji toe in iOS 16.1 zodat 'gewone mensen zoals je vriendin' de nieuwste bugfixes installeren".

Er is geen reden dat FaceTime in het systeem moet zitten behalve de arbitraire keus om dat zo te doen, vroeger zat het er niet in en kon je het uit de App Store downloaden. 'Vroeger' waren de meeste macOS apps geen onderdeel van het systeem en kon je ze verwijderen, Apple heeft besloten aan dezelfde 'koppelverkoop' te doen die Microsoft deed door ze onderdeel te maken van het systeem, waardoor je een foutmelding krijgt als je ze probeert te verwijderen.

Ik zie nergens in je reactie een argument waarom het per se in macOS updates verwikkeld moet zitten behalve dat dit Apple helpt omdat je het gehele pakket aan veranderingen moet installeren, hence die hele 1 GB voor een verandering van nog geen 1 kB.

[Reactie gewijzigd door Blizz op 23 juli 2024 04:38]

Daoka @Blizz • 27 januari 2022 05:50

Er is geen reden dat FaceTime in het systeem moet zitten behalve de arbitraire keus om dat zo te doen, vroeger zat het er niet in en kon je het uit de App Store downloaden. 'Vroeger' waren de meeste macOS apps geen onderdeel van het systeem en kon je ze verwijderen.

Het zou me niets verbazen als genoeg gebruikers ook hierom gevraagd hebben. "Dit programma wordt zoveel gebruikt en is toch door jullie gemaakt dus waarom niet gewoon in de os stoppen en dan hoef ik dit niet steeds te downloaden of los te updaten". Genoeg programma's of functies worden toegevoegd omdat mensen dingen missen en liever zien dat iets standaard meegeleverd wordt in plaats van extra handelingen te moeten doen of gebruik maken van externe oplossingen.

grimlock @Verwijderd • 27 januari 2022 07:55

Je kan kiezen, ofwel incremental updates die alles checken en dan specifiek overal patches doorvoeren in bestaande bestanden waardoor de update zelf meerdere uren kan behelzen en dat je steeds incremental op incremental moet installeren of met elke release een volledige update vanuit een minimale geïnstalleerde versie, waar het laatst in het nieuws was dat ze v15 willen hebben als basis. Als ze dat niet doen dan blijf je bezig en worden de updates steeds groter of moet je steeds langer en vaker updaten.

g_v_rijn @Rhinosaur • 26 januari 2022 19:52

iOS update visa versus App (Store) update.
Wellicht zit er een bepaalde afweging achter...

page404 @Rhinosaur • 27 januari 2022 08:03

Je noemt het een simpele patch, maar een onderdeel van deze update is een kernelpatch. Het gebruikte model is in de basis nog steeds *nix, en daar is het heel normaal dat je de kernel als een geheel patcht. Dan zit je al snel in de vele honderden MB's.
Je opmerking over dat je een jaar moet wachten op "fatsoenlijke upgrades" is uit de lucht gegrepen. Elke major iOS versie heeft grote wijzigingen, net als bij andere besturingssystemen. Daarnaast worden door het jaar heen .x versies opgeleverd waar heel vaak ook nieuwe features in zitten. Of het is gewoon een minor vanwege die kernelupgrade.
Ik heb hier verschillende OS'en draaien en die updates van Apple zijn toch wel de minst problematische in mijn ervaring. Windows updates zijn -nog steeds- enorm traag en belastend op het systeem (en lijken nooit wat op te lossen), Android is ook geen onverdeeld genoegen, en Linux heeft ook zo zijn problemen.

jcbvm

@slijkie • 26 januari 2022 20:10

Daar gaat het helemaal niet om. Het gaat erom dat je voor een Safari patch je hele OS moet updaten, dat is belachelijk…

Naafkap @jcbvm • 26 januari 2022 20:57

Ik denk dat je niet helemaal begrijpt waar de kwetsbaarheid zich bevindt. Deze bevindt zich niet in Safari, maar om WebKit, dat volledig verweven zit in het OS. Het is dus niet vreemd dat er een OS-update wordt aangeboden.

wica @Naafkap • 26 januari 2022 22:22

Het lijkt mij stug, dat de code van webkit, door het hele OS heen zit. Ik denk eerder dat dit ook gewoon een library is. En ja, die zou je los op je OS moeten kunnen updaten.

Maar ik snap Apple ook wel weer, het is gemakkelijker de hele image te laten updaten. Dan losse stukjes software. Ze hoeven veel minder rekening te houden met de verschillende versies bij hun klanten, waardoor ze ook minder in hun update infra hoeven te investeren.

willieverhoef @Naafkap • 26 januari 2022 23:00

En dan klaagde iedereen dat IE verweven was met windows xp.

bkor @Naafkap • 27 januari 2022 09:32

Deze bevindt zich niet in Safari, maar om WebKit, dat volledig verweven zit in het OS.

Dat is nog steeds maar 1 pakket/library. Ik package dingen voor Mageia. Webkit kan je prima onafhankelijk updaten, zeker wanneer niks aan de API/ABI verandert. Tegelijk heb je dingen zoals delta-rpms om de individuele updates kleiner te maken.

Ik begrijp je "volledig verweven in het OS" niet echt, het is een securityfix, zoveel verandert er meestal niet bij een fix hiervoor.

Blizz @Naafkap • 27 januari 2022 03:56

En het is volledig 'by choice' dat dit zo is geïmplementeerd. Beetje makkelijk om dan maar 'het is what het is' te zeggen, zo kun je nooit ergens verandering in brengen. Beetje een "God wil het zo" onzinverhaal van de kerk in de middeleeuwen. Apple kan dat natuurlijk best op een manier inbouwen zodat ook de WebKit library bijgewerkt kan worden.

slijkie @jcbvm • 26 januari 2022 20:13

Omdat Safari niet een app is uit de appstore en in de OS gebakken zit. Vandaar dat ook de meeste dingen soepel in Safari werken en in Google Chrome niet (op iOS, en naar mijn mening).

Dat zal vast en zeker een zeer goede reden hebben, Er zijn andere apps van Apple die wel via de Appstore geupdate worden.

Een reden zou kunnen zijn dat er mensen zijn met een iPhone of een Mac die absoluut geen AppleID willen gebruiken, dus ook geen Appstore. Dan is het wel belangrijk dat de basis browser up to date blijft. Dit zie je ook in MacOS.

Keypunchie

Apple

@slijkie • 26 januari 2022 20:25

Het is een keuze om Safari/Webkit zo diep te integreren en om hem niet buiten het systeemimage te kunnen patchen.

Dit geneuzel is precies wat Microsoft over Internet Explorer en Windows9x riep. Dat was toen niet waar en nu voor iOS is het ook niet waar.

[Reactie gewijzigd door Keypunchie op 23 juli 2024 04:38]

bzzzt

Apple
Apple iPhone

@Keypunchie • 27 januari 2022 10:34

Uiteindelijk is het natuurlijk een kwestie van definities. Wat Microsoft riep was technisch niet waar, maar wat ze wel goed hadden gezien was dat de meeste mensen geen besturingssysteem zonder browser meer wilden.

Er is nog wel een voordeel voor gebruikers voor het opnemen van Safari in het 'system image': omdat op meerdere lagen wordt afgedwongen dat deze code niet gewijzigd kan worden (system integrity protection, read-only volume) is de kans dat er malware verstopt wordt in de browser code een stukje kleiner.
Niet dat dat niet anders kan, maar er zijn ook niet-evil redenen waarom Apple het zo ingericht heeft.

jcbvm

@slijkie • 26 januari 2022 20:18

Dat vind ik niet echt een goede reden. Safari en de webview conponenten die andere apps gebruiken zou je volgens mij prima los kunnen trekken. Dit heeft Android tijden terug ook gedaan toen OS updates er maar niet door kwamen bij de telefoonleveranciers. Daar werkt het niet minder soepel dan op iOS.

slijkie @jcbvm • 26 januari 2022 20:20

Dan zou je zoals ik aangaf, zonder Appstore (AppleID) de updates manueel gaan moeten uitgeven via packages. Dit zal tot ongelofelijk veel gedonder leiden.

Tevens is Android en iOS vergelijken niet echt relevant. Totaal andere opbouw.

jcbvm

@slijkie • 26 januari 2022 20:24

Of in een apart gedeelte van de App Store zetten welke geen Apple ID vereist?

wica @slijkie • 26 januari 2022 22:25

Dan zou je zoals ik aangaf, zonder Appstore (AppleID) de updates manueel gaan moeten uitgeven via packages. Dit zal tot ongelofelijk veel gedonder leiden.

Er zijn OS-en die het op deze manier al ruim 30 jaar doen

Maar het is idd een keuze van Apple.

Ed Vertijsment @slijkie • 26 januari 2022 20:29

Betreft:

dingen soepel in Safari werken en in Google Chrome niet (op iOS, en naar mijn mening).

Ik dacht dat dat te maken heeft met de webview die apps gebruiken versus de native Safari browser, volgens mij kunnen third party apps daarom geen JIT-compilatie gebruiken .

Hulliee @jcbvm • 26 januari 2022 20:16

Het gaat hier om een WebKit update, niet een Safari-patch. WebKit is een onderdeel van het OS.

jcbvm

@Hulliee • 26 januari 2022 20:20

Ook dit zou je volgens mij gewoon los kunnen trekken, zoals Android dat met webview heeft gedaan.

Hulliee @jcbvm • 26 januari 2022 20:24

Ik weet niet of je dat gewoon los kunt trekken. Ik heb geen inzicht in de broncode van iOS of iPadOS.
Wat ik wel weet is dat WebKit overal in het OS zit en is geïntegreerd.

Maurits van Baerle @jcbvm • 26 januari 2022 20:16

De fix zit niet in Safari maar in WebKit en dat is een onderdeel van iOS. Met alleen Safari updaten kom je er dus niet want dan waren andere browsers op iOS nog steeds kwetsbaar geweest.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (44)

Sorteer op:

Weergave: