Safari: Alte Sicherheitslücke speichert URLs auch im Private-Browsing-Modus
Normalerweise sollte ein Browser alle angesurften Adressen vergessen, wenn er im "Privatmodus" genutzt wird. Apples Safari tut das allerdings nicht – die besuchten Adressen landen in einer ungeschützten Datenbank.
![Safari: Alte Sicherheitslücke speichert URLs auch im Private-Browsing-Modus](https://heise.cloudimg.io/width/534/q85.png-lossy-85.webp-lossy-85.foil1/_www-heise-de_/imgs/18/1/4/4/9/6/6/5/12150-5767-Screenshot-2015-03-14-001654-l-df0ea4d1c6796a39.png)
Die Datenbank ist eigentlich zum Ablegen von Website-Icons gedacht.
(Bild: AppleInsider)
Ein schon seit mindestens 2013 in Apples OS-X-Browser Safari enthaltener Fehler sorgt dafür, dass auch während "Private-Browsing"-Sitzungen aufgerufene URLs gespeichert werden. Wie AppleInsider inklusive Vorführvideo demonstriert, erfasst der Browser in einer SQLite-Datenbank alle angesurften Domains, egal ob nun der Privatmodus aktiviert wurde oder auch nicht. Schlimmer noch: Die Datei namens "WebpageIcons.db" die in "~/Library/Safari/" beheimat ist, wurde nicht weiter verschlüsselt oder versteckt.
"WebpageIcons.db" dient zur Erfassung der Favicons aufgerufener Websites, damit diese anschließend in der URL-Leiste, in den Lesezeichen und der Favoritenansicht angezeigt werden können. In der SQLite-Datenbank stecken aber auch die angesurften Adressen mit weiteren Detailinfos.
Einen Unterschied zwischen Surftouren im Privatmodus und im regulären Safari-Betrieb macht der Browser bei der Erfassung nicht. "WebpageIcons.db" lässt sich mit jedem SQLite-Betrachter öffnen. Laut AppleInsider erschien bereits im Jahr 2013 in einem wissenschaftlichen IT-Journal eine Browser-Forensik-Analyse zu Safari. Darin ist der Trick mit der Datenbank "WebpageIcons" bereits erwähnt.
Der Fehler steckt auch noch in OS X 10.10.3, das sich aktuell in einer Betaphase befindet. Ob Apple an einer Lösung arbeitet, ist unbekannt. Bis diese vorliegt, hilft, die komplette Datei unter "~/Library/Safari/WebpageIcons.db" zu löschen, nachdem der Browser geschlossen wurde. (bsc)