您的位置:首頁 >財(cái)經(jīng) >

蘋果Safari瀏覽器被曝漏洞 影響“隱私瀏覽”模式

2022-01-18 19:10:52 來源:網(wǎng)易科技報(bào)道

1月18日消息,據(jù)外媒報(bào)道,防欺詐服務(wù)提供商FingerprintJS調(diào)查發(fā)現(xiàn),蘋果瀏覽器Safari15中的一個漏洞可能會泄露用戶的瀏覽活動,還可能泄露谷歌賬戶上的某些個人信息。

這個漏洞源于蘋果推出的IndexedDB,它是可在瀏覽器上存儲數(shù)據(jù)的應(yīng)用程序編程接口(API)。FingerprintJS解釋稱,IndexedDB遵守同源策略,該策略限制一個源與其他源收集的數(shù)據(jù)交互。本質(zhì)上,只有生成數(shù)據(jù)的網(wǎng)站才能訪問它。

舉例來說,如果您在某個選項(xiàng)卡中打開電子郵件帳戶,然后在另一個選項(xiàng)卡中打開惡意網(wǎng)頁,同源策略會阻止惡意頁面查看和干預(yù)用戶的電子郵件。

FingerprintJS發(fā)現(xiàn),蘋果在Safari 15中應(yīng)用IndexedDB API實(shí)際上違反了同源策略。當(dāng)網(wǎng)站與Safari中的數(shù)據(jù)庫交互時(shí),F(xiàn)ingerprintJS稱:“在同一瀏覽器會話中的所有其他活動框架、選項(xiàng)卡和窗口中都會創(chuàng)建一個同名的新(空)數(shù)據(jù)庫。”

這意味著,其他網(wǎng)站可以看到用戶在不同網(wǎng)站上創(chuàng)建的其他數(shù)據(jù)庫名稱,其中可能包含特定于其身份的詳細(xì)信息。FingerprintJS注意到,當(dāng)用戶瀏覽需要谷歌帳戶的網(wǎng)站時(shí),如YouTube、Google Calendar和Google Keep等,都會生成名稱中包含用戶唯一谷歌賬戶ID的數(shù)據(jù)庫。這個ID允許谷歌訪問用戶的公開信息,比如其個人資料,而Safari漏洞可能會將這些信息暴露給其他網(wǎng)站。

谷歌Chrome瀏覽器團(tuán)隊(duì)的Web開發(fā)倡導(dǎo)者杰克·阿奇博爾德(Jake Archibald)稱:“這是個巨大的漏洞。在OSX上,Safari用戶可以(暫時(shí))切換到另一個瀏覽器,以避免他們的數(shù)據(jù)跨來源泄露。而IOS用戶沒有這樣的選擇,因?yàn)樘O果對其他瀏覽器引擎實(shí)施了禁令。”

為了衡量漏洞的嚴(yán)重程度,F(xiàn)ingerprintJS檢查了訪問量最高的1000個網(wǎng)站主頁,如Instagram、Netflix、Twitter和Xbox等,其中有30多個網(wǎng)站直接在其主頁上與索引數(shù)據(jù)庫交互,而不需要任何額外的用戶交互或身份驗(yàn)證。實(shí)際上,這個數(shù)字可能要高得多,特別是當(dāng)用戶開始訪問其他頁面或與該站點(diǎn)進(jìn)行交互時(shí)。

FingerprintJS對此進(jìn)行了概念驗(yàn)證演示,如果用戶在Mac、iPhone或iPad上安裝了Safari 15或更新版本,則可以自己嘗試。該演示利用瀏覽器的IndexedDB漏洞識別用戶已打開(或最近打開)的網(wǎng)站,并顯示利用該漏洞的網(wǎng)站如何從谷歌用戶ID中竊取信息。

這個漏洞會影響macOS上的Safari,以及iOS和iPadOS上的所有瀏覽器。這意味著,如果你擁有蘋果設(shè)備,就有可能存在風(fēng)險(xiǎn)。

壞消息是,在蘋果修復(fù)漏洞之前,人們無法避免這個問題,因?yàn)镕ingerprintJS稱這個漏洞也會影響Safari上的“隱私瀏覽”模式。你可以在MacOS上使用不同的瀏覽器,但蘋果在iOS上禁止第三方瀏覽器引擎意味著所有瀏覽器都會受到影響。FingerprintJS已經(jīng)向WebKit Bug Tracker報(bào)告了其發(fā)現(xiàn)。

好消息是,蘋果已經(jīng)開始著手解決這個問題。該公司已經(jīng)將FingerprintJS報(bào)告的問題標(biāo)記為“已解決”,但該修復(fù)還沒有真正向終端用戶發(fā)布。在此之前,最好還是在macOS上使用其他瀏覽器。(小小)

標(biāo)簽: 蘋果 Safari 瀏覽器 漏洞