首页 > 资讯列表 > 科技资讯 >> 电信通讯

苹果浏览器Safari15曝漏洞或泄露浏览活动和谷歌账户信息

电信通讯 2022-01-18 07:59:52 转载来源: 网易科技报道

1月18日消息,据外媒报道,防欺诈服务提供商FingerprintJS调查发现,苹果浏览器Safari 15中的一个漏洞可能会泄露用户的浏览活动,还可能泄露谷歌账户上的某些个人信息。这个漏洞源于苹果推出的IndexedDB,它是可在浏览器上存储数据的应用程序编程接口(API)

1月18日消息,据外媒报道,防欺诈服务提供商FingerprintJS调查发现,苹果浏览器Safari 15中的一个漏洞可能会泄露用户的浏览活动,还可能泄露谷歌账户上的某些个人信息。

这个漏洞源于苹果推出的IndexedDB,它是可在浏览器上存储数据的应用程序编程接口(API)。FingerprintJS解释称,IndexedDB遵守同源策略,该策略限制一个源与其他源收集的数据交互。本质上,只有生成数据的网站才能访问它。

举例来说,如果您在某个选项卡中打开电子邮件帐户,然后在另一个选项卡中打开恶意网页,同源策略会阻止恶意页面查看和干预用户的电子邮件。

FingerprintJS发现,苹果在Safari 15中应用IndexedDB API实际上违反了同源策略。当网站与Safari中的数据库交互时,FingerprintJS称:“在同一浏览器会话中的所有其他活动框架、选项卡和窗口中都会创建一个同名的新(空)数据库。”

这意味着,其他网站可以看到用户在不同网站上创建的其他数据库名称,其中可能包含特定于其身份的详细信息。FingerprintJS注意到,当用户浏览需要谷歌帐户的网站时,如YouTube、Google Calendar和Google Keep等,都会生成名称中包含用户唯一谷歌账户ID的数据库。这个ID允许谷歌访问用户的公开信息,比如其个人资料,而Safari漏洞可能会将这些信息暴露给其他网站。


谷歌Chrome浏览器团队的Web开发倡导者杰克·阿奇博尔德(Jake Archibald)称:“这是个巨大的漏洞。在OSX上,Safari用户可以(暂时)切换到另一个浏览器,以避免他们的数据跨来源泄露。而IOS用户没有这样的选择,因为苹果对其他浏览器引擎实施了禁令。”

为了衡量漏洞的严重程度,FingerprintJS检查了访问量最高的1000个网站主页,如Instagram、Netflix、Twitter和Xbox等,其中有30多个网站直接在其主页上与索引数据库交互,而不需要任何额外的用户交互或身份验证。实际上,这个数字可能要高得多,特别是当用户开始访问其他页面或与该站点进行交互时。

FingerprintJS对此进行了概念验证演示,如果用户在Mac、iPhone或iPad上安装了Safari 15或更新版本,则可以自己尝试。该演示利用浏览器的IndexedDB漏洞识别用户已打开(或最近打开)的网站,并显示利用该漏洞的网站如何从谷歌用户ID中窃取信息。

这个漏洞会影响macOS上的Safari,以及iOS和iPadOS上的所有浏览器。这意味着,如果你拥有苹果设备,就有可能存在风险。

坏消息是,在苹果修复漏洞之前,人们无法避免这个问题,因为FingerprintJS称这个漏洞也会影响Safari上的“隐私浏览”模式。你可以在MacOS上使用不同的浏览器,但苹果在iOS上禁止第三方浏览器引擎意味着所有浏览器都会受到影响。FingerprintJS已经向WebKit Bug Tracker报告了其发现。

好消息是,苹果已经开始着手解决这个问题。该公司已经将FingerprintJS报告的问题标记为“已解决”,但该修复还没有真正向终端用户发布。在此之前,最好还是在macOS上使用其他浏览器。(小小)

标签: 苹果 浏览器 Safari15 漏洞 泄露 浏览 活动 谷歌 账户


声明:本文内容来源自网络,文字、图片等素材版权属于原作者,平台转载素材出于传递更多信息,文章内容仅供参考与学习,切勿作为商业目的使用。如果侵害了您的合法权益,请您及时与我们联系,我们会在第一时间进行处理!我们尊重版权,也致力于保护版权,站搜网感谢您的分享!

站长搜索

http://www.adminso.com

Copyright @ 2007~2024 All Rights Reserved.

Powered By 站长搜索

打开手机扫描上面的二维码打开手机版


使用手机软件扫描微信二维码

关注我们可获取更多热点资讯

站长搜索目录系统技术支持