蘋果Safari瀏覽器被曝漏洞 影響“隱私瀏覽”模式

1月18日消息，據(jù)外媒報道，防欺詐服務(wù)提供商FingerprintJS調(diào)查發(fā)現(xiàn)，蘋果瀏覽器Safari15中的一個漏洞可能會泄露用戶的瀏覽活動，還可能泄露谷歌賬戶上的某些個人信息。

這個漏洞源于蘋果推出的IndexedDB，它是可在瀏覽器上存儲數(shù)據(jù)的應(yīng)用程序編程接口(API)。FingerprintJS解釋稱，IndexedDB遵守同源策略，該策略限制一個源與其他源收集的數(shù)據(jù)交互。本質(zhì)上，只有生成數(shù)據(jù)的網(wǎng)站才能訪問它。

舉例來說，如果您在某個選項卡中打開電子郵件帳戶，然后在另一個選項卡中打開惡意網(wǎng)頁，同源策略會阻止惡意頁面查看和干預(yù)用戶的電子郵件。

FingerprintJS發(fā)現(xiàn)，蘋果在Safari 15中應(yīng)用IndexedDB API實際上違反了同源策略。當網(wǎng)站與Safari中的數(shù)據(jù)庫交互時，F(xiàn)ingerprintJS稱：“在同一瀏覽器會話中的所有其他活動框架、選項卡和窗口中都會創(chuàng)建一個同名的新(空)數(shù)據(jù)庫。”

這意味著，其他網(wǎng)站可以看到用戶在不同網(wǎng)站上創(chuàng)建的其他數(shù)據(jù)庫名稱，其中可能包含特定于其身份的詳細信息。FingerprintJS注意到，當用戶瀏覽需要谷歌帳戶的網(wǎng)站時，如YouTube、Google Calendar和Google Keep等，都會生成名稱中包含用戶唯一谷歌賬戶ID的數(shù)據(jù)庫。這個ID允許谷歌訪問用戶的公開信息，比如其個人資料，而Safari漏洞可能會將這些信息暴露給其他網(wǎng)站。

谷歌Chrome瀏覽器團隊的Web開發(fā)倡導(dǎo)者杰克·阿奇博爾德(Jake Archibald)稱：“這是個巨大的漏洞。在OSX上，Safari用戶可以(暫時)切換到另一個瀏覽器，以避免他們的數(shù)據(jù)跨來源泄露。而IOS用戶沒有這樣的選擇，因為蘋果對其他瀏覽器引擎實施了禁令。”

為了衡量漏洞的嚴重程度，F(xiàn)ingerprintJS檢查了訪問量最高的1000個網(wǎng)站主頁，如Instagram、Netflix、Twitter和Xbox等，其中有30多個網(wǎng)站直接在其主頁上與索引數(shù)據(jù)庫交互，而不需要任何額外的用戶交互或身份驗證。實際上，這個數(shù)字可能要高得多，特別是當用戶開始訪問其他頁面或與該站點進行交互時。

FingerprintJS對此進行了概念驗證演示，如果用戶在Mac、iPhone或iPad上安裝了Safari 15或更新版本，則可以自己嘗試。該演示利用瀏覽器的IndexedDB漏洞識別用戶已打開(或最近打開)的網(wǎng)站，并顯示利用該漏洞的網(wǎng)站如何從谷歌用戶ID中竊取信息。

這個漏洞會影響macOS上的Safari，以及iOS和iPadOS上的所有瀏覽器。這意味著，如果你擁有蘋果設(shè)備，就有可能存在風(fēng)險。

壞消息是，在蘋果修復(fù)漏洞之前，人們無法避免這個問題，因為FingerprintJS稱這個漏洞也會影響Safari上的“隱私瀏覽”模式。你可以在MacOS上使用不同的瀏覽器，但蘋果在iOS上禁止第三方瀏覽器引擎意味著所有瀏覽器都會受到影響。FingerprintJS已經(jīng)向WebKit Bug Tracker報告了其發(fā)現(xiàn)。

好消息是，蘋果已經(jīng)開始著手解決這個問題。該公司已經(jīng)將FingerprintJS報告的問題標記為“已解決”，但該修復(fù)還沒有真正向終端用戶發(fā)布。在此之前，最好還是在macOS上使用其他瀏覽器。(小小)

標簽： 蘋果 Safari 瀏覽器 漏洞