1月18日消息,據(jù)外媒報(bào)道,防欺詐服務(wù)提供商FingerprintJS調(diào)查發(fā)現(xiàn),蘋果瀏覽器Safari15中的一個(gè)漏洞可能會(huì)泄露用戶的瀏覽活動(dòng),還可能泄露谷歌賬戶上的某些個(gè)人信息。
這個(gè)漏洞源于蘋果推出的IndexedDB,它是可在瀏覽器上存儲(chǔ)數(shù)據(jù)的應(yīng)用程序編程接口(API)。FingerprintJS解釋稱,IndexedDB遵守同源策略,該策略限制一個(gè)源與其他源收集的數(shù)據(jù)交互。本質(zhì)上,只有生成數(shù)據(jù)的網(wǎng)站才能訪問(wèn)它。
舉例來(lái)說(shuō),如果您在某個(gè)選項(xiàng)卡中打開電子郵件帳戶,然后在另一個(gè)選項(xiàng)卡中打開惡意網(wǎng)頁(yè),同源策略會(huì)阻止惡意頁(yè)面查看和干預(yù)用戶的電子郵件。
FingerprintJS發(fā)現(xiàn),蘋果在Safari 15中應(yīng)用IndexedDB API實(shí)際上違反了同源策略。當(dāng)網(wǎng)站與Safari中的數(shù)據(jù)庫(kù)交互時(shí),F(xiàn)ingerprintJS稱:“在同一瀏覽器會(huì)話中的所有其他活動(dòng)框架、選項(xiàng)卡和窗口中都會(huì)創(chuàng)建一個(gè)同名的新(空)數(shù)據(jù)庫(kù)。”
這意味著,其他網(wǎng)站可以看到用戶在不同網(wǎng)站上創(chuàng)建的其他數(shù)據(jù)庫(kù)名稱,其中可能包含特定于其身份的詳細(xì)信息。FingerprintJS注意到,當(dāng)用戶瀏覽需要谷歌帳戶的網(wǎng)站時(shí),如YouTube、Google Calendar和Google Keep等,都會(huì)生成名稱中包含用戶唯一谷歌賬戶ID的數(shù)據(jù)庫(kù)。這個(gè)ID允許谷歌訪問(wèn)用戶的公開信息,比如其個(gè)人資料,而Safari漏洞可能會(huì)將這些信息暴露給其他網(wǎng)站。
谷歌Chrome瀏覽器團(tuán)隊(duì)的Web開發(fā)倡導(dǎo)者杰克·阿奇博爾德(Jake Archibald)稱:“這是個(gè)巨大的漏洞。在OSX上,Safari用戶可以(暫時(shí))切換到另一個(gè)瀏覽器,以避免他們的數(shù)據(jù)跨來(lái)源泄露。而IOS用戶沒有這樣的選擇,因?yàn)樘O果對(duì)其他瀏覽器引擎實(shí)施了禁令。”
為了衡量漏洞的嚴(yán)重程度,F(xiàn)ingerprintJS檢查了訪問(wèn)量最高的1000個(gè)網(wǎng)站主頁(yè),如Instagram、Netflix、Twitter和Xbox等,其中有30多個(gè)網(wǎng)站直接在其主頁(yè)上與索引數(shù)據(jù)庫(kù)交互,而不需要任何額外的用戶交互或身份驗(yàn)證。實(shí)際上,這個(gè)數(shù)字可能要高得多,特別是當(dāng)用戶開始訪問(wèn)其他頁(yè)面或與該站點(diǎn)進(jìn)行交互時(shí)。
FingerprintJS對(duì)此進(jìn)行了概念驗(yàn)證演示,如果用戶在Mac、iPhone或iPad上安裝了Safari 15或更新版本,則可以自己嘗試。該演示利用瀏覽器的IndexedDB漏洞識(shí)別用戶已打開(或最近打開)的網(wǎng)站,并顯示利用該漏洞的網(wǎng)站如何從谷歌用戶ID中竊取信息。
這個(gè)漏洞會(huì)影響macOS上的Safari,以及iOS和iPadOS上的所有瀏覽器。這意味著,如果你擁有蘋果設(shè)備,就有可能存在風(fēng)險(xiǎn)。
壞消息是,在蘋果修復(fù)漏洞之前,人們無(wú)法避免這個(gè)問(wèn)題,因?yàn)镕ingerprintJS稱這個(gè)漏洞也會(huì)影響Safari上的“隱私瀏覽”模式。你可以在MacOS上使用不同的瀏覽器,但蘋果在iOS上禁止第三方瀏覽器引擎意味著所有瀏覽器都會(huì)受到影響。FingerprintJS已經(jīng)向WebKit Bug Tracker報(bào)告了其發(fā)現(xiàn)。
好消息是,蘋果已經(jīng)開始著手解決這個(gè)問(wèn)題。該公司已經(jīng)將FingerprintJS報(bào)告的問(wèn)題標(biāo)記為“已解決”,但該修復(fù)還沒有真正向終端用戶發(fā)布。在此之前,最好還是在macOS上使用其他瀏覽器。(小小)