2022年1月20日整理发布:几天前,我们向您介绍了一个相当严重的Safari漏洞,在某些情况下,该漏洞可能导致个人数据被盗。FingerprintJS的报告称,该漏洞“让任何网站都可以跟踪你的互联网活动,甚至泄露你的身份”。这家安全研究公司于2021年11月28日向WebKitBugTracker提交了该漏洞,据MacRumors称,Apple的修复似乎即将推出。
在GitHub上,WebKit提交表明Apple已让其工程师致力于修复以消除该错误。预计这将在不久后分别通过对iOS、iPadOS和macOSMonterey的更新传播给iPhone、iPad和Mac用户。WebKit是Safari使用的网络浏览器引擎,由于Apple要求iPhone和iPad上的所有浏览器都由WebKit驱动,因此Chrome和Edge等第三方浏览器在iOS15和iPadOS15上存在相同的错误。
该漏洞允许任何使用IndexedDBAPI进行数据存储的网站获取用户在浏览会话期间打开的其他网站的名称,即使它们是在不同的选项卡或窗口中打开的。受影响的站点还必须使用IndexedDB,众所周知,它拥有“大量数据”。
演示展示了Safari错误如何显示您最近访问过的某些网站的名称-Apple正在努力修复以消除iOS15、iPadOS15Safari错误
演示显示Safari错误如何显示您最近访问过的某些网站的名称
其中一些数据库将公开特定于用户的标识符,攻击者可以使用这些标识符来捕获用户的名称。将这些用户特定标识符放入其数据库的应用包括YouTube、Google日历和GoogleKeep。
与YouTube、Google日历和GoogleKeep等应用一起使用的标识符包括个人的Google用户ID。您可以通过在iPhone或iPad的移动网络浏览器上打开Safarileaks.com来证明这一点。按照说明进行操作,根据您最近访问过的网站,您的Google用户ID将与您最近打开的某些网站的名称一起显示。
运行iOS14或iPadOS14的设备不受该错误影响
借助您的Google用户ID,黑客可以识别特定的Google帐户。也许更令人担忧的是,结合谷歌API,这个漏洞至少会向黑客泄露你的个人资料图片,在最坏的情况下会泄露更多的个人信息。
该错误不会影响macOS上的Safari14,或iOS14和iPadOS14上的移动浏览器。但是,在过去四年中发布的72%的iPhone型号和运行iOS15的所有兼容iPhone设备中的63%都有效大量可被利用的苹果手机。
这个错误的问题之一是它不需要你做任何特别的事情来让自己处于危险之中。您无需被诱骗点击链接或打开某个网站。FingerprintJS发现,前1000个访问过的站点中有30个(由Alexa计算)在其主页上都有IndexedDB,这使得iPhone或iPad用户很容易在不知不觉中直接进入这个错误。
在Apple发布更新之前,用户确实无法避免这种情况。Mac用户可以切换浏览器,但iOS和iPadOS用户必须坚持使用在WebKit引擎上运行的浏览器,这样不会有太大帮助。一种建议是默认阻止所有JavaScript,仅在100%受信任的站点上允许它。
WebKitCommit表示更新将很快推出,但对于那些不满意浏览历史、个人资料图片和更多个人数据可以被发现这一想法的注重隐私的iPhone和iPad用户来说,这可能还不够快连同他们的身份。
版权声明:转载此文是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢您的支持与理解。
