報告稱蘋果Safari 15瀏覽器存漏洞,可能導致個人數據泄露

北京新浪網 (2022-01-18 14:54)
分享| 分享至新浪微博 分享至facebook 分享至PLURK 分享至twitter

原標題:報告稱蘋果Safari 15瀏覽器存漏洞,可能導致個人數據泄露

據今日俄羅斯電視台(RT)報導,據一家欺詐檢測機構報告,最近披露的蘋果Safari 15瀏覽器的一個漏洞,可以被惡意網站用來提取用戶瀏覽歷史記錄,並獲取其谷歌ID,以收集更多個人數據。

今日俄羅斯電視台報導配圖

這家機構的全稱是「瀏覽器指紋庫欺詐檢測服務FingerprintJS」,其識別出的問題存在於IndexedDB的應用程序編程介面(API)中,該介面用於在瀏覽器中存儲大量數據。

通常情況下,這些數據收集介面遵循同源策略:只允許網站訪問自身產生的數據,而不允許訪問其他網站產生的數據。例如,如果用戶在一個瀏覽器標籤中打開電子郵件帳戶,而在第二個標籤中打開另一個網頁時,新網頁的代碼將無法訪問任何與電子郵件相關的數據。

然而,對於蘋果Safari 15瀏覽器來說,情況並非如此。由於蘋果應用了IndexedDB介面(API),每次網站與瀏覽器資料庫交互時,都會為所有其他活動標籤創建一個同名的新資料庫。這意味著每個這樣的站點,都可以訪問同時打開的其他所有站點的資料庫。

當用戶與需要個人數據的網頁(如視頻網站YouTube或谷歌賬戶)交互時,任何與谷歌ID鏈接的頁面都會創建具有谷歌用戶ID的資料庫,這些資料庫會與用戶打開的所有其他網站共享,因此可能會被不法分子利用,包括一旦他們知道用戶的谷歌ID,就會獲得更多的個人數據。

蘋果電腦MacOS操作系統的用戶可能只需使用Safari以外的瀏覽器就可以繞過這個漏洞,但iPhone和iPad用戶幾乎無能為力,因為蘋果公司禁止所有iOS設備使用第三方瀏覽器引擎,這意味著所有瀏覽器都會受到影響,Safari 15上的私密瀏覽模式也會受到影響。

FingerprintJS甚至還製作了一個特殊的演示程序,展示了Safari是如何收集網站數據、瀏覽歷史和個人數據的,從而顯示出用戶的網路頭像。該機構還表示,已經在去年11月28日報告了這個問題,但到目前為止還沒有發佈修復該問題的更新,蘋果也沒有回應媒體的置評請求。(編輯:SDY)