蘋果Safari浏覽器被曝漏洞 或洩露浏覽活動和(hé / huò)谷歌賬戶信息
1 月 18 日消息,據外媒報道(dào),防欺詐服務提供商 FingerprintJS 調查發現,蘋果浏覽器 Safari 15 中的(de)一(yī / yì /yí)個(gè)漏洞可能會洩露用戶的(de)浏覽活動,還可能洩露谷歌賬戶上(shàng)的(de)某些個(gè)人(rén)信息。
這(zhè)個(gè)漏洞源于(yú)蘋果推出(chū)的(de) IndexedDB,它是(shì)可在(zài)浏覽器上(shàng)存儲數據的(de)應用程序編程接口(API)。FingerprintJS 解釋稱,IndexedDB 遵守同源策略,該策略限制一(yī / yì /yí)個(gè)源與其他(tā)源收集的(de)數據交互。本質上(shàng),隻有生成數據的(de)網站才能訪問它。
舉例來(lái)說(shuō),如果您在(zài)某個(gè)選項卡中打開電子(zǐ)郵件帳戶,然後在(zài)另一(yī / yì /yí)個(gè)選項卡中打開惡意網頁,同源策略會阻止惡意頁面查看和(hé / huò)幹預用戶的(de)電子(zǐ)郵件。
FingerprintJS 發現,蘋果在(zài) Safari 15 中應用 IndexedDB API 實際上(shàng)違反了(le/liǎo)同源策略。當網站與 Safari 中的(de)數據庫交互時(shí),FingerprintJS 稱:“在(zài)同一(yī / yì /yí)浏覽器會話中的(de)所有其他(tā)活動框架、選項卡和(hé / huò)窗口中都會創建一(yī / yì /yí)個(gè)同名的(de)新(空)數據庫。”
這(zhè)意味着,其他(tā)網站可以(yǐ)看到(dào)用戶在(zài)不(bù)同網站上(shàng)創建的(de)其他(tā)數據庫名稱,其中可能包含特定于(yú)其身份的(de)詳細信息。FingerprintJS 注意到(dào),當用戶浏覽需要(yào / yāo)谷歌帳戶的(de)網站時(shí),如 YouTube、Google Calendar 和(hé / huò) Google Keep 等,都會生成名稱中包含用戶唯一(yī / yì /yí)谷歌賬戶 ID 的(de)數據庫。這(zhè)個(gè) ID 允許谷歌訪問用戶的(de)公開信息,比如其個(gè)人(rén)資料,而(ér) Safari 漏洞可能會将這(zhè)些信息暴露給其他(tā)網站。
谷歌 Chrome 浏覽器團隊的(de) Web 開發倡導者傑克·阿奇博爾德(Jake Archibald)稱:“這(zhè)是(shì)個(gè)巨大(dà)的(de)漏洞。在(zài) OSX 上(shàng),Safari 用戶可以(yǐ)(暫時(shí))切換到(dào)另一(yī / yì /yí)個(gè)浏覽器,以(yǐ)避免他(tā)們的(de)數據跨來(lái)源洩露。而(ér) IOS 用戶沒有這(zhè)樣的(de)選擇,因爲(wéi / wèi)蘋果對其他(tā)浏覽器引擎實施了(le/liǎo)禁令。”
爲(wéi / wèi)了(le/liǎo)衡量漏洞的(de)嚴重程度,FingerprintJS 檢查了(le/liǎo)訪問量最高的(de) 1000 個(gè)網站主頁,如 Instagram、Netflix、Twitter 和(hé / huò) Xbox 等,其中有 30 多個(gè)網站直接在(zài)其主頁上(shàng)與索引數據庫交互,而(ér)不(bù)需要(yào / yāo)任何額外的(de)用戶交互或身份驗證。實際上(shàng),這(zhè)個(gè)數字可能要(yào / yāo)高得多,特别是(shì)當用戶開始訪問其他(tā)頁面或與該站點進行交互時(shí)。
FingerprintJS 對此進行了(le/liǎo)概念驗證演示,如果用戶在(zài) Mac、iPhone 或 iPad 上(shàng)安裝了(le/liǎo) Safari 15 或更新版本,則可以(yǐ)自己嘗試。該演示利用浏覽器的(de) IndexedDB 漏洞識别用戶已打開(或最近打開)的(de)網站,并顯示利用該漏洞的(de)網站如何從谷歌用戶 ID 中竊取信息。
這(zhè)個(gè)漏洞會影響 macOS 上(shàng)的(de) Safari,以(yǐ)及 iOS 和(hé / huò) iPadOS 上(shàng)的(de)所有浏覽器。這(zhè)意味着,如果你擁有蘋果設備,就(jiù)有可能存在(zài)風險。
壞消息是(shì),在(zài)蘋果修複漏洞之(zhī)前,人(rén)們無法避免這(zhè)個(gè)問題,因爲(wéi / wèi) FingerprintJS 稱這(zhè)個(gè)漏洞也(yě)會影響 Safari 上(shàng)的(de)“隐私浏覽”模式。你可以(yǐ)在(zài) MacOS 上(shàng)使用不(bù)同的(de)浏覽器,但蘋果在(zài) iOS 上(shàng)禁止第三方浏覽器引擎意味着所有浏覽器都會受到(dào)影響。FingerprintJS 已經向 WebKit Bug Tracker 報告了(le/liǎo)其發現。
好消息是(shì),蘋果已經開始着手解決這(zhè)個(gè)問題。該公司已經将 FingerprintJS 報告的(de)問題标記爲(wéi / wèi)“已解決”,但該修複還沒有真正向終端用戶發布。在(zài)此之(zhī)前,最好還是(shì)在(zài) macOS 上(shàng)使用其他(tā)浏覽器。(小小)