Safari 漏洞或導致瀏覽歷史、Google 帳戶資訊外洩

iPhone、iPad 上的第三方瀏覽器也會受到該漏洞影響。

MacBook Pro
MacBook Pro

9to5Mac 報導,FingerprintJS 日前公開了一項部分 Apple 裝置上存在的漏洞,而它可能會導致用戶的瀏覽歷史甚至 Google 帳戶資訊外洩。據稱所有支援 Safari 15 的平台都會被波及,與此同時 iOS 15 和 iPadOS 15 上的第三方瀏覽器也會受到影響(因為用的都是和 Safari 一樣的引擎)。該問題的根源,在於 Apple 違背了 IndexedDB 框架(在許多瀏覽器中都承擔儲存數據的任務)的同源原則。

一般來說,大部分瀏覽器在開每個網站時都會新建一個 IndexedDB,而它只能從該網站訪問。但 Safari 目前的做法,是在為某網站開了一個 IndexedDB 後,再把該 IndexedDB 空白的影子副本用於其它網站。雖然副本是空,但它的名字和實際的數據庫是一模一樣的,那這就構成了隱私外洩的可能。比如當 Disney 的網站看到 Netflix IndexedDB 的時候,它就知道你很有可能是一個 Netflix 用戶了。另外如 Gmail 等網站的數據庫名稱亦會包含用戶 ID,這帶來的風險就更大了。

按照 FingerprintJS 的說法,即便是無痕模式也無法避開這一漏洞。他們稱自己早在去年 11 月 28 日時就將問題回報給了 Apple,但對方至今仍未釋出相應的修復更新。所以暫時來說,想徹底杜絕隱私洩漏的話,Mac 用戶只能先轉用非 Safari 的瀏覽器,而 iPhone 和 iPad 使用者就沒有太好的辦法了。(你可以把 JavaScript 全關了,但這樣也就基本沒法瀏覽了)