Safari浏览器曝出API漏洞 可泄露浏览数据和用户身份
长期以来,苹果一直以隐私保护为主要卖点,大力推荐自家的 Safari 浏览器,比如部署了防止跨站点追踪的举措和隐私报告。然而近日,该软件却曝出了处理 IndexedDB API 时的一个漏洞,或导致签署努力功亏一篑、泄露与用户浏览习惯相关的隐私信息。
(来自:FingerprintJS)
浏览器指纹识别服务 FingerprintJS 在一篇博客文章中指出,苹果在 Safari 15 中的 IndexedDB API 实现方式,存在一个严重的隐私数据泄露隐患。
研究人员指出,该漏洞使得任何 Web 追踪器能够窥探用户的互联网活动,并最终确定其身份。
据悉,IndexedDB 是被广大浏览器客户端所采纳的一款存储 API,多用于保存数据库等数据。
通常情况下,同源策略会限制哪些数据可被某个特定的网站访问。
此外一般只允许一个网站只能访问其生成的数据、而不能摸到其它网站的数据。
尴尬的是,在 Safari 15 for macOS、iOS 和 iPadOS 版本中,我们惊讶地发现 ——
每当网站与其数据库交互时,处于同一浏览器会话中的所有其它活动框架、选项卡、以及窗口,都会创建一个使用相同名称的新空数据库。
由此造成的数据泄露是个问题,因其可让别有用心的站点知悉处在同一会话中的不同选项卡、或窗口中访问的其它站点。
此外考虑到部分数据库具有唯一、且特定于某个网站的名称,问题就变得更加糟糕。
对于可共享相同身份验证凭据的站点(比如 Gmail 和 YouTube),数据库名称还可包含经过身份验证的相同 Google 用户 ID 。
测试发现,具有普遍唯一标识符的索引数据库,是由广告网络所创建的。庆幸的是,Safari 的追踪预防功能阻止了这些数据库名称以这种方式泄露。
即使隐私浏览窗口也无法避免受到该问题的影响,但浏览会话仅限于单个选项卡,因而能够在一定程度上缓解 IndexedDB API 这一缺陷的影响。
目前用户对该问题几乎无能为力,只有在默认情况下阻止 JavaScript 才行(仅在受信任的站点上启用,但可能对浏览体验造成不利影响)。
macOS 用户可临时选用其它浏览器(Google Chrome / Mozilla Firefox 等),但 iOS / iPadOS 用户就没有那么幸运了,只能等待苹果和 WebKit 开发团队在下一版更新中修复。
[超站]友情链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/
随时掌握互联网精彩
- 1 中秘关于深化全面战略伙伴关系的声明 7955897
- 2 外卖员吐槽尽量不要点黄焖鸡 7978048
- 3 教师指认猥亵现场坠亡 民警免予刑罚 7852370
- 4 秘鲁总统:已备美酒 欢迎光临! 7788659
- 5 俄罗斯喀山机场实施临时航空管制措施 7653806
- 6 俄媒:苏-57比中国歼-35更强 7559421
- 7 专家:本轮房价拐点全方位到来 7496734
- 8 俄罗斯开出停战先决条件 7388784
- 9 上海一路面的“操”字成网红打卡点 7295739
- 10 10月份主要经济指标回升明显 7127115