根据浏览器指纹识别服务商 FingerprintJS 提交的报告显示,在苹果的Safari浏览器中发现了一个新的漏洞,该漏洞可能会泄露用户的浏览活动以及用户谷歌账户的一些个人信息链接。具体是在Safari中名为IndexedDB的JavaScript API的Webkit实现中发现了该漏洞。
IndexedDB是在浏览器上存储数据的API。此API遵循同一来源策略,这意味着一个来源不能与从其他来源收集的数据交互。该漏洞针对IndexedDB API的漏洞,允许其他网站在用户浏览会话期间访问由其他网站生成的IndexedDB数据库。
这个漏洞也可以让网站追踪你的谷歌账户。谷歌在Safari上以用户经过身份验证的谷歌用户ID的名称存储IndexedDB数据库。据FingerprintJS称,该标识符可与谷歌API一起用于获取用户的个人信息,如个人资料图片。但是,由于IndexedDB是以Google用户ID的名称保存的,因此它可以用来显示与用户的Google账户相关的许多信息。
这个Bug会影响iOS 15、macOS Monterey和iPadOS 15所有版本上的Safari 15,因为所有这些版本都使用苹果的开源WebKit引擎。即使是iOS上的第三方web浏览器,包括Chrome和Microsoft Edge,也容易受到该漏洞的攻击,因为苹果要求所有浏览器在iPhone和iPad上使用WebKit网站渲染引擎。
该漏洞不需要任何用户输入或任何用户交互,就可以访问由其他网站生成的IndexedDB数据库。正如FingerprintJS的博客文章所指出的,“在后台运行并不断查询IndexedDB API以获取可用数据库的选项卡或窗口可以实时了解用户访问的其他网站。或者,网站可以在iframe或弹出窗口中打开任何网站,以触发特定网站基于IndexedDB的泄漏。”
这个漏洞必须由苹果公司修补。即使使用“隐私窗口”也无济于事。如果运行的是Safari 14,即iOS或macOS的早期版本,则该漏洞不会影响使用。由于该漏洞已经被许多用户、出版物和网站所关注,修复工作应该很快就会到来——尽管苹果尚未对该漏洞发表评论。
如果您是macOS上的Safari 15用户,您应该暂时切换到其他浏览器,例如Google Chrome或Microsoft Edge。在iOS和iPadOS上切换web浏览器不会有帮助,因为所有web浏览器都使用受漏洞影响的WebKit渲染引擎。
本文暂时没有评论,来添加一个吧(●'◡'●)