Een fout in de Safari-browser van Apple kan ertoe leiden dat persoonlijke gegevens of de browsegeschiedenis van gebruikers uitlekken. Dat blijkt uit bevindingen van FingerprintJS, een bedrijf dat software ontwikkelt om online fraude tegen te gaan.

De fout werd gevonden in Safari's IndexedDB, een browserprogramma om gegevens op te slaan. IndexedDB kan onder meer door websites worden gebruikt om te zien welke pagina's een bezoeker opent. Normaal gesproken zou die informatie alleen beschikbaar zijn voor de bezochte website zelf, maar door de bug kunnen websites ook aflezen welke andere websites de gebruiker heeft bezocht. Zo kan de browsegeschiedenis van een bezoeker in kaart gebracht worden.

De informatie via IndexedDB kan ook meer persoonlijke gegevens bevatten. Zo kunnen sites via de fout Google User ID's aflezen van bezoekers die een Google-account gebruiken. Daarmee kan een (kwaadwillende) websitebeheerder toegang krijgen tot bijvoorbeeld een Google-gebruikersnaam of een profielfoto van de bezoeker om de identiteit van een persoon te achterhalen. Vervolgens is het bijvoorbeeld mogelijk om een profiel te maken van websites waar de bezoeker graag komt.

FingerprintJS schrijft dat de fout onder meer te vinden is in Safari 15 voor de Mac en in Safari voor alle versies van iOS 15 en iPadOS 15. Op de iPhone en iPad hebben ook andere browsers last van de bug, doordat Apple ontwikkelaars van andere browsers dwingt bepaalde software te gebruiken.

De bug is vorig jaar op 28 november aan Apple doorgegeven, maar er is nog geen oplossing. Gebruikers kunnen een andere browser dan Safari gebruiken op een laptop of desktopcomputer, maar mensen met een iPhone kunnen alleen wachten tot het probleem is verholpen.