新版Safari存安全漏洞 或洩漏用戶個人信息

人氣 876

【大紀元2022年01月17日訊】(大紀元記者陳霆綜合報導)資訊安全業者指出,新版Safari出現了嚴重漏洞,可能讓用戶的瀏覽記錄個資外洩

上週五(1月14日),瀏覽器指紋識別與欺詐檢測服務商Fingerprintjs在一篇博文中稱(鏈結),新版Safari(Safari 15)出現一項嚴重漏洞。該漏洞源自Safari使用的瀏覽器排版引擎「WebKit」。

聽新聞:

(聽更多請至「聽紀元」平台)

文章中稱,在新版的WebKit中,IndexedDB API出現了錯誤,它沒有遵守網站安全常用的「同源政策」(Same Origin Policy)。

「同源政策」意味著只有生成數據的網站才能訪問它。例如,如果用戶在一個分頁(tab)中,打開電子郵件帳戶,然後在另一個分頁中打開惡意網頁,「同源策略」會阻止惡意網頁查看、讀取您的電子郵件。

Fingerprintjs稱,IndexedDB是一個用於客戶端存儲的瀏覽器API,旨在保存大量的數據。

這項錯誤允許任何使用IndexedDB的網站,登入其他使用IndexedDB網站的用戶端資料庫。正常狀況下,這些資料應是各自獨立的。

舉例來說,透過該漏洞,當使用者從Google頁面轉移到其它網頁瀏覽時,網頁就可存取Google的ID資訊,進而搜集更多資料,確定用戶的身分。

透過這個安全漏洞,即使開啟Safari 15的「私密瀏覽」(private mode)模式,也無法完全防止資料外洩,只能防止兩個分頁相互讀取。如果在同一分頁上,接連瀏覽兩個網站,資料也可能外洩。

iPhone、iPad上所有瀏覽器都遭殃

這項漏洞已影響到macOS上的Safari 15,以及iOS、iPadOS 15上的所有瀏覽器。因為根據Apple的App Store指南要求,在iPhone或iPad上的所有瀏覽器都需使用「WebKit」引擎。

目前,需要等待Apple軟件更新,才能解決該錯誤。

Fingerprintjs指出,在此之前,用戶保護自己的方式之一,是預設阻止所有JavaScript,僅在信任的網站允許,但這會讓瀏覽網頁時相當不便。

對於macOS用戶來說,另一種方式是改用別的瀏覽器。

不過,對於iPhone和iPad來說,這個方法並沒有用,只能使用Safari 14以前的版本。

責任編輯:葉紫微#

相關新聞
《壯志凌雲:獨行俠》上映 騰訊為何悄然撤資
對華基調轉向 德總理斥中共貸款將釀危機
猴痘病毒現身 中共官媒及網紅甩鍋美國遭駁斥
美日韓外長罕見聯合聲明 譴責朝鮮射導彈
最熱視頻
【遠見快評】布林肯暗藏機鋒 李克強大會不尋常
【十字路口】經濟造假無極限 李克強也抓狂
【財商天下】中國經濟要崩 十萬官員大救火
【秦鵬直播】王岐山韓國行 對美遞橄欖枝失靈?
【拍案驚奇】南海驚魂 傳導彈差點撞上國際航班
【方菲訪談】韓美聯盟 對抗中朝
如果您有新聞線索或資料給大紀元,請進入安全投稿爆料平台
評論