Safari führt deaktivierte Erweiterungen aus

Abgeschaltete Erweiterungen für den Apple-Browser sind in der Lage, nach Hause zu telefonieren, warnt ein Entwickler.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 11 Beiträge

Erweiterungen gibt es nur für die Mac-Version von Safari.

(Bild: Apple)

Von

Apples Mac-Browser Safari führt installierte Erweiterungen auch dann aus, wenn der Nutzer sie deaktiviert – oder gar nicht erst aktiviert hat. Darauf weist der Entwickler Jeff Johnson hin. Bei jedem Start führe der Browser standardmäßig alle registrierten Extensions – das sind alle Erweiterungen, die in den Einstellungen verzeichnet sind – aus, egal ab an- oder abgeschaltet.

Die deaktivierte Safari-Erweiterung könne zwar kein Javascript in Webseiten einbetten und somit auch keine Web-Inhalte verändern, doch sei die zugehörige App und App-Extension weiter im System lauffähig und so in der Lage, verschiedene Aktionen ausführen, zum Beispiel Daten an einen Server des Anbieters übertragen, wie Johnson erklärt.

Unbemerkt vom Nutzer sei eine Erweiterung beispielsweise fähig, IP-Adresse, Nutzernamen und Zeitangaben über das Öffnen des Browsers zu übermitteln. Zwar sind Safari-Erweiterungen in macOS per Sandbox abgeschottet, wären aber auch nach einer Deaktivierung noch fähig, mögliche Schwachstellen auszunutzen, so der Entwickler.

Ein zusätzliches Problem besteht darin, dass Safari-Extensions aus dem Mac App Store – das ist inzwischen Apples bevorzugte Quelle – allein durch den Download mit einhergehender Installation vom Browser automatisch registriert werden. Auch wenn der Nutzer die zugehörige App nicht öffnet und die Erweiterung nie aktiviert, wird diese also ausgeführt, betont Johnson. Um eine Erweiterung loszuwerden, müsse die zugehörige App also komplett vom Mac gelöscht werden.

Der Entwickler hat das Problem im November 2019 an Apples Sicherheits-Team gemeldet, erhielt aber zweimal die Erwiderung, dass es nicht als Sicherheitsproblem eingestuft werde – deshalb habe er sich nun zu einer Veröffentlichung entschieden. Johnson hat eine Extension als Beispiel veröffentlicht, die das Problem nachvollziehbar machen soll.

Um Ressourcen-hungrige und potenziell missbräuchliche Browser-Erweiterungen in Schranken zu weisen, hat Apple die Extension-Schnittstelle des Browsers in den vergangenen Jahren stark eingeschränkt und jüngst alte Safari-Erweiterungen komplett abgesägt. Die neue Extensions kommen nun immer mit einer Begleit-App und werden unter anderem über den Mac App Store vertrieben. (lbe)