1 月 18 日消息，據外媒報道(dào)，防欺詐服務提供商 FingerprintJS 調查發(fā)現，蘋果浏覽器 Safari 15 中的一個漏洞可能(néng)會(huì)洩露用戶的浏覽活動，還(hái)可能(néng)洩露谷歌賬戶上的某些個人信息。

這(zhè)個漏洞源于蘋果推出的 IndexedDB，它是可在浏覽器上存儲數據的應用程序編程接口(API)。FingerprintJS 解釋稱，IndexedDB 遵守同源策略，該策略限制一個源與其他源收集的數據交互。本質上，隻有生成(chéng)數據的網站才能(néng)訪問它。

舉例來說(shuō)，如果您在某個選項卡中打開(kāi)電子郵件帳戶，然後(hòu)在另一個選項卡中打開(kāi)惡意網頁，同源策略會(huì)阻止惡意頁面(miàn)查看和幹預用戶的電子郵件。

FingerprintJS 發(fā)現，蘋果在 Safari 15 中應用 IndexedDB API 實際上違反了同源策略。當網站與 Safari 中的數據庫交互時(shí)，FingerprintJS 稱：“在同一浏覽器會(huì)話中的所有其他活動框架、選項卡和窗口中都(dōu)會(huì)創建一個同名的新(空)數據庫。”

這(zhè)意味著(zhe)，其他網站可以看到用戶在不同網站上創建的其他數據庫名稱，其中可能(néng)包含特定于其身份的詳細信息。FingerprintJS 注意到，當用戶浏覽需要谷歌帳戶的網站時(shí)，如 YouTube、Google Calendar 和 Google Keep 等，都(dōu)會(huì)生成(chéng)名稱中包含用戶唯一谷歌賬戶 ID 的數據庫。這(zhè)個 ID 允許谷歌訪問用戶的公開(kāi)信息，比如其個人資料，而 Safari 漏洞可能(néng)會(huì)將(jiāng)這(zhè)些信息暴露給其他網站。

谷歌 Chrome 浏覽器團隊的 Web 開(kāi)發(fā)倡導者傑克·阿奇博爾德(Jake Archibald)稱：“這(zhè)是個巨大的漏洞。在 OSX 上，Safari 用戶可以(暫時(shí))切換到另一個浏覽器，以避免他們的數據跨來源洩露。而 IOS 用戶沒(méi)有這(zhè)樣的選擇，因爲蘋果對(duì)其他浏覽器引擎實施了禁令。”

爲了衡量漏洞的嚴重程度，FingerprintJS 檢查了訪問量最高的 1000 個網站主頁，如 Instagram、Netflix、Twitter 和 Xbox 等，其中有 30 多個網站直接在其主頁上與索引數據庫交互，而不需要任何額外的用戶交互或身份驗證。實際上，這(zhè)個數字可能(néng)要高得多，特别是當用戶開(kāi)始訪問其他頁面(miàn)或與該站點進(jìn)行交互時(shí)。

FingerprintJS 對(duì)此進(jìn)行了概念驗證演示，如果用戶在 Mac、iPhone 或 iPad 上安裝了 Safari 15 或更新版本，則可以自己嘗試。該演示利用浏覽器的 IndexedDB 漏洞識别用戶已打開(kāi)(或最近打開(kāi))的網站，并顯示利用該漏洞的網站如何從谷歌用戶 ID 中竊取信息。

這(zhè)個漏洞會(huì)影響 macOS 上的 Safari，以及 iOS 和 iPadOS 上的所有浏覽器。這(zhè)意味著(zhe)，如果你擁有蘋果設備，就(jiù)有可能(néng)存在風險。

壞消息是，在蘋果修複漏洞之前，人們無法避免這(zhè)個問題，因爲 FingerprintJS 稱這(zhè)個漏洞也會(huì)影響 Safari 上的“隐私浏覽”模式。你可以在 MacOS 上使用不同的浏覽器，但蘋果在 iOS 上禁止第三方浏覽器引擎意味著(zhe)所有浏覽器都(dōu)會(huì)受到影響。FingerprintJS 已經(jīng)向(xiàng) WebKit Bug Tracker 報告了其發(fā)現。

好(hǎo)消息是，蘋果已經(jīng)開(kāi)始著(zhe)手解決這(zhè)個問題。該公司已經(jīng)將(jiāng) FingerprintJS 報告的問題标記爲“已解決”，但該修複還(hái)沒(méi)有真正向(xiàng)終端用戶發(fā)布。在此之前，最好(hǎo)還(hái)是在 macOS 上使用其他浏覽器。（小小）