1月18日消息,據外媒報導,防欺詐服務提供商FingerprintJS調查發現,蘋果瀏覽器Safari 15中的一個漏洞可能會洩露用戶的瀏覽活動,還可能洩露Google帳戶上的某些個人資訊。
這個漏洞源於蘋果推出的IndexedDB,它是可在瀏覽器上儲存數據的應用程序編程接口(API)。 FingerprintJS解釋稱,IndexedDB遵守同源策略,該策略限制一個源與其他源收集的數據互動。本質上,只有生成數據的網站才能訪問它。
舉例來說,如果您在某個選項卡中打開電子郵件帳戶,然後在另一個選項卡中打開惡意網頁,同源策略會阻止惡意頁面查看和干預用戶的電子郵件。
FingerprintJS發現,蘋果在Safari 15中應用IndexedDB API實際上違反了同源策略。當網站與Safari中的數據庫互動時,FingerprintJS稱:「在同一瀏覽器會話中的所有其他活動框架、選項卡和窗口中都會創建一個同名的新(空)數據庫。」
這意味著,其他網站可以看到用戶在不同網站上創建的其他數據庫名稱,其中可能包含特定於其身份的詳細資訊。 FingerprintJS注意到,當用戶瀏覽需要Google帳戶的網站時,如YouTube、Google Calendar和Google Keep等,都會生成名稱中包含用戶唯一Google帳戶ID的數據庫。這個ID允許Google訪問用戶的公開資訊,比如其個人資料,而Safari漏洞可能會將這些資訊暴露給其他網站。
Google Chrome瀏覽器團隊的Web開發倡導者傑克·阿奇博爾德(Jake Archibald)稱:「這是個巨大的漏洞。在OSX上,Safari用戶可以(暫時)切換到另一個瀏覽器,以避免他們的數據跨來源洩露。而IOS用戶沒有這樣的選擇,因為蘋果對其他瀏覽器引擎實施了禁令。」
為了衡量漏洞的嚴重程度,FingerprintJS檢查了訪問量最高的1000個網站主頁,如Instagram、Netflix、Twitter和Xbox等,其中有30多個網站直接在其主頁上與索引數據庫互動,而不需要任何額外的用戶互動或身份驗證。實際上,這個數字可能要高得多,特別是當用戶開始訪問其他頁面或與該站點進行互動時。
FingerprintJS對此進行了概念驗證演示,如果用戶在Mac、iPhone或iPad上安裝了Safari 15或更新版本,則可以自己嘗試。該演示利用瀏覽器的IndexedDB漏洞識別用戶已打開(或最近打開)的網站,並顯示利用該漏洞的網站如何從Google用戶ID中竊取資訊。
這個漏洞會影響macOS上的Safari,以及iOS和iPadOS上的所有瀏覽器。這意味著,如果你擁有蘋果裝置,就有可能存在風險。
壞消息是,在蘋果修復漏洞之前,人們無法避免這個問題,因為FingerprintJS稱這個漏洞也會影響Safari上的「隱私瀏覽」模式。你可以在MacOS上使用不同的瀏覽器,但蘋果在iOS上禁止第三方瀏覽器引擎意味著所有瀏覽器都會受到影響。 FingerprintJS已經向WebKit Bug Tracker報告了其發現。
好消息是,蘋果已經開始著手解決這個問題。該公司已經將FingerprintJS報告的問題標記為「已解決」,但該修復還沒有真正向終端用戶發布。在此之前,最好還是在macOS上使用其他瀏覽器。
本文授權轉載自:網易科技
責任編輯:傅珮晴、侯品如
