...

蘋果Safari浏覽器被曝漏洞 或洩露浏覽活動和谷歌賬戶信息

2022-01-18

1 月 18 日消息,據外媒報道(dào),防欺詐服務提供商 FingerprintJS 調查發(fā)現,蘋果浏覽器 Safari 15 中的一個漏洞可能(néng)會(huì)洩露用戶的浏覽活動,還(hái)可能(néng)洩露谷歌賬戶上的某些個人信息。

這(zhè)個漏洞源于蘋果推出的 IndexedDB,它是可在浏覽器上存儲數據的應用程序編程接口(API)。FingerprintJS 解釋稱,IndexedDB 遵守同源策略,該策略限制一個源與其他源收集的數據交互。本質上,隻有生成(chéng)數據的網站才能(néng)訪問它。

舉例來說(shuō),如果您在某個選項卡中打開(kāi)電子郵件帳戶,然後(hòu)在另一個選項卡中打開(kāi)惡意網頁,同源策略會(huì)阻止惡意頁面(miàn)查看和幹預用戶的電子郵件。

FingerprintJS 發(fā)現,蘋果在 Safari 15 中應用 IndexedDB API 實際上違反了同源策略。當網站與 Safari 中的數據庫交互時(shí),FingerprintJS 稱:“在同一浏覽器會(huì)話中的所有其他活動框架、選項卡和窗口中都(dōu)會(huì)創建一個同名的新(空)數據庫。”

這(zhè)意味著(zhe),其他網站可以看到用戶在不同網站上創建的其他數據庫名稱,其中可能(néng)包含特定于其身份的詳細信息。FingerprintJS 注意到,當用戶浏覽需要谷歌帳戶的網站時(shí),如 YouTube、Google Calendar 和 Google Keep 等,都(dōu)會(huì)生成(chéng)名稱中包含用戶唯一谷歌賬戶 ID 的數據庫。這(zhè)個 ID 允許谷歌訪問用戶的公開(kāi)信息,比如其個人資料,而 Safari 漏洞可能(néng)會(huì)將(jiāng)這(zhè)些信息暴露給其他網站。

谷歌 Chrome 浏覽器團隊的 Web 開(kāi)發(fā)倡導者傑克·阿奇博爾德(Jake Archibald)稱:“這(zhè)是個巨大的漏洞。在 OSX 上,Safari 用戶可以(暫時(shí))切換到另一個浏覽器,以避免他們的數據跨來源洩露。而 IOS 用戶沒(méi)有這(zhè)樣的選擇,因爲蘋果對(duì)其他浏覽器引擎實施了禁令。”

爲了衡量漏洞的嚴重程度,FingerprintJS 檢查了訪問量最高的 1000 個網站主頁,如 Instagram、Netflix、Twitter 和 Xbox 等,其中有 30 多個網站直接在其主頁上與索引數據庫交互,而不需要任何額外的用戶交互或身份驗證。實際上,這(zhè)個數字可能(néng)要高得多,特别是當用戶開(kāi)始訪問其他頁面(miàn)或與該站點進(jìn)行交互時(shí)。

FingerprintJS 對(duì)此進(jìn)行了概念驗證演示,如果用戶在 Mac、iPhone 或 iPad 上安裝了 Safari 15 或更新版本,則可以自己嘗試。該演示利用浏覽器的 IndexedDB 漏洞識别用戶已打開(kāi)(或最近打開(kāi))的網站,并顯示利用該漏洞的網站如何從谷歌用戶 ID 中竊取信息。

這(zhè)個漏洞會(huì)影響 macOS 上的 Safari,以及 iOS 和 iPadOS 上的所有浏覽器。這(zhè)意味著(zhe),如果你擁有蘋果設備,就(jiù)有可能(néng)存在風險。

壞消息是,在蘋果修複漏洞之前,人們無法避免這(zhè)個問題,因爲 FingerprintJS 稱這(zhè)個漏洞也會(huì)影響 Safari 上的“隐私浏覽”模式。你可以在 MacOS 上使用不同的浏覽器,但蘋果在 iOS 上禁止第三方浏覽器引擎意味著(zhe)所有浏覽器都(dōu)會(huì)受到影響。FingerprintJS 已經(jīng)向(xiàng) WebKit Bug Tracker 報告了其發(fā)現。

好(hǎo)消息是,蘋果已經(jīng)開(kāi)始著(zhe)手解決這(zhè)個問題。該公司已經(jīng)將(jiāng) FingerprintJS 報告的問題标記爲“已解決”,但該修複還(hái)沒(méi)有真正向(xiàng)終端用戶發(fā)布。在此之前,最好(hǎo)還(hái)是在 macOS 上使用其他浏覽器。(小小)


來源:網易