当前位置: 软件志 >软件 > 苹果Safari浏览器曝重大隐私漏洞:任何网站都可以访问私人数据

苹果Safari浏览器曝重大隐私漏洞:任何网站都可以访问私人数据

更新时间:2022-01-17 11:19:23    浏览次数:271+次

如果你关心你的隐私,你意味着需要放下你的iPhone,因为Safari浏览器中的一个严重的执行错误意味着任何网站都能够读取你的一些私人数据和最近的浏览历史,即使是在使用私人浏览模式时。

这个问题与Safari浏览器实现IndexedDB的方式有关,IndexedDB是网络应用普遍使用的基于浏览器的数据库。大多数浏览器为每个网站创建一个新的IndexedDB实例,它只能从该网站访问。

苹果Safari浏览器曝重大隐私漏洞:任何网站都可以访问私人数据图片

然而,Safari 在每个其他网页中都创建了由每个网页创建的 IndexedDB 的空版本,这意味着对于 IndexedDB,Safari 没有正确尊重同源策略。

即使为其他网页创建的 IndexedDB 的影子副本是空的,它们仍然与原始网页应用程序创建的实际数据库具有相同的名称,这可能会泄露私人信息。仅仅是数据库的存在就会让其他网页知道你访问了另一个网站,例如,Netflix IndexedDB的存在可以告诉亚马逊你是一个Netflix用户。然而,更糟糕的是,数据库的名称可能会泄露你的凭证。例如,谷歌应用程序(如Gmail或YouTube)的数据库名称包括你的GoogleID,它可以被用来访问你的公开信息,如你的个人资料图片。

这个bug是由FingerprintJS在11月28日发现并报告的,但到目前为止,苹果还没有采取任何行动。

你可以在FingerprintJS的概念验证网站上测试这个问题,它将检查你最近是否访问了30个不同的主要网站。

在macOS上,用户可以而且应该使用另一个浏览器,但在iOS上,所有浏览器都使用Safari网络引擎,这意味着所有iPhone用户除了停止使用手机上的浏览器外,没有任何缓解措施。

请看下面FingerprintJS的解释视频:

?