99er久久国产精品先锋_亚洲丰满少妇撒尿BBo_老外和中国女人毛片免费视频_思思热在线视频网站_av无码不卡高清_国产 激情 自拍_激情综合色婷婷激情丁香_少妇与子乱A级全毛片_男人捅女人的软件_日本欧美日韩

...

蘋果Safari瀏覽器被曝漏洞 或泄露瀏覽活動(dòng)和谷歌賬戶信息

2022-01-18

1 月 18 日消息,據(jù)外媒報(bào)道,防欺詐服務(wù)提供商 FingerprintJS 調(diào)查發(fā)現(xiàn),蘋果瀏覽器 Safari 15 中的一個(gè)漏洞可能會(huì)泄露用戶的瀏覽活動(dòng),還可能泄露谷歌賬戶上的某些個(gè)人信息。

這個(gè)漏洞源于蘋果推出的 IndexedDB,它是可在瀏覽器上存儲(chǔ)數(shù)據(jù)的應(yīng)用程序編程接口(API)。FingerprintJS 解釋稱,IndexedDB 遵守同源策略,該策略限制一個(gè)源與其他源收集的數(shù)據(jù)交互。本質(zhì)上,只有生成數(shù)據(jù)的網(wǎng)站才能訪問它。

舉例來說,如果您在某個(gè)選項(xiàng)卡中打開電子郵件帳戶,然后在另一個(gè)選項(xiàng)卡中打開惡意網(wǎng)頁,同源策略會(huì)阻止惡意頁面查看和干預(yù)用戶的電子郵件。

FingerprintJS 發(fā)現(xiàn),蘋果在 Safari 15 中應(yīng)用 IndexedDB API 實(shí)際上違反了同源策略。當(dāng)網(wǎng)站與 Safari 中的數(shù)據(jù)庫交互時(shí),F(xiàn)ingerprintJS 稱:“在同一瀏覽器會(huì)話中的所有其他活動(dòng)框架、選項(xiàng)卡和窗口中都會(huì)創(chuàng)建一個(gè)同名的新(空)數(shù)據(jù)庫?!?/p>

這意味著,其他網(wǎng)站可以看到用戶在不同網(wǎng)站上創(chuàng)建的其他數(shù)據(jù)庫名稱,其中可能包含特定于其身份的詳細(xì)信息。FingerprintJS 注意到,當(dāng)用戶瀏覽需要谷歌帳戶的網(wǎng)站時(shí),如 YouTube、Google Calendar 和 Google Keep 等,都會(huì)生成名稱中包含用戶唯一谷歌賬戶 ID 的數(shù)據(jù)庫。這個(gè) ID 允許谷歌訪問用戶的公開信息,比如其個(gè)人資料,而 Safari 漏洞可能會(huì)將這些信息暴露給其他網(wǎng)站。

谷歌 Chrome 瀏覽器團(tuán)隊(duì)的 Web 開發(fā)倡導(dǎo)者杰克·阿奇博爾德(Jake Archibald)稱:“這是個(gè)巨大的漏洞。在 OSX 上,Safari 用戶可以(暫時(shí))切換到另一個(gè)瀏覽器,以避免他們的數(shù)據(jù)跨來源泄露。而 IOS 用戶沒有這樣的選擇,因?yàn)樘O果對(duì)其他瀏覽器引擎實(shí)施了禁令?!?/p>

為了衡量漏洞的嚴(yán)重程度,F(xiàn)ingerprintJS 檢查了訪問量最高的 1000 個(gè)網(wǎng)站主頁,如 Instagram、Netflix、Twitter 和 Xbox 等,其中有 30 多個(gè)網(wǎng)站直接在其主頁上與索引數(shù)據(jù)庫交互,而不需要任何額外的用戶交互或身份驗(yàn)證。實(shí)際上,這個(gè)數(shù)字可能要高得多,特別是當(dāng)用戶開始訪問其他頁面或與該站點(diǎn)進(jìn)行交互時(shí)。

FingerprintJS 對(duì)此進(jìn)行了概念驗(yàn)證演示,如果用戶在 Mac、iPhone 或 iPad 上安裝了 Safari 15 或更新版本,則可以自己嘗試。該演示利用瀏覽器的 IndexedDB 漏洞識(shí)別用戶已打開(或最近打開)的網(wǎng)站,并顯示利用該漏洞的網(wǎng)站如何從谷歌用戶 ID 中竊取信息。

這個(gè)漏洞會(huì)影響 macOS 上的 Safari,以及 iOS 和 iPadOS 上的所有瀏覽器。這意味著,如果你擁有蘋果設(shè)備,就有可能存在風(fēng)險(xiǎn)。

壞消息是,在蘋果修復(fù)漏洞之前,人們無法避免這個(gè)問題,因?yàn)?FingerprintJS 稱這個(gè)漏洞也會(huì)影響 Safari 上的“隱私瀏覽”模式。你可以在 MacOS 上使用不同的瀏覽器,但蘋果在 iOS 上禁止第三方瀏覽器引擎意味著所有瀏覽器都會(huì)受到影響。FingerprintJS 已經(jīng)向 WebKit Bug Tracker 報(bào)告了其發(fā)現(xiàn)。

好消息是,蘋果已經(jīng)開始著手解決這個(gè)問題。該公司已經(jīng)將 FingerprintJS 報(bào)告的問題標(biāo)記為“已解決”,但該修復(fù)還沒有真正向終端用戶發(fā)布。在此之前,最好還是在 macOS 上使用其他瀏覽器。(小小)


來源:網(wǎng)易