新版Safari存安全漏洞 或泄漏用户个人信息

人气 875

【大纪元2022年01月17日讯】(大纪元记者陈霆综合报导)资讯安全业者指出,新版Safari出现了严重漏洞,可能让用户的浏览记录个资外泄

上周五(1月14日),浏览器指纹识别与欺诈检测服务商Fingerprintjs在一篇博文中称(链接),新版Safari(Safari 15)出现一项严重漏洞。该漏洞源自Safari使用的浏览器排版引擎“WebKit”。

听新闻:

(听更多请至“听纪元”平台)

文章中称,在新版的WebKit中,IndexedDB API出现了错误,它没有遵守网站安全常用的“同源政策”(Same Origin Policy)。

“同源政策”意味着只有生成数据的网站才能访问它。例如,如果用户在一个分页(tab)中,打开电子邮件账户,然后在另一个分页中打开恶意网页,“同源策略”会阻止恶意网页查看、读取您的电子邮件。

Fingerprintjs称,IndexedDB是一个用于客户端存储的浏览器API,旨在保存大量的数据。

这项错误允许任何使用IndexedDB的网站,登入其他使用IndexedDB网站的用户端资料库。正常状况下,这些资料应是各自独立的。

举例来说,透过该漏洞,当使用者从Google页面转移到其它网页浏览时,网页就可存取Google的ID资讯,进而搜集更多资料,确定用户的身份。

透过这个安全漏洞,即使开启Safari 15的“私密浏览”(private mode)模式,也无法完全防止资料外泄,只能防止两个分页相互读取。如果在同一分页上,接连浏览两个网站,资料也可能外泄。

iPhone、iPad上所有浏览器都遭殃

这项漏洞已影响到macOS上的Safari 15,以及iOS、iPadOS 15上的所有浏览器。因为根据Apple的App Store指南要求,在iPhone或iPad上的所有浏览器都需使用“WebKit”引擎。

目前,需要等待Apple软件更新,才能解决该错误。

Fingerprintjs指出,在此之前,用户保护自己的方式之一,是预设阻止所有JavaScript,仅在信任的网站允许,但这会让浏览网页时相当不便。

对于macOS用户来说,另一种方式是改用别的浏览器。

不过,对于iPhone和iPad来说,这个方法并没有用,只能使用Safari 14以前的版本。

责任编辑:叶紫微#

相关新闻
布林肯三战略遭北京强烈反弹 分析:点中共死穴
英情报:俄部署老型坦克 凸显作战装备缺乏
香港人“大规模出走” 他们去了哪里
美中角力 首个太平洋岛国将加入IPEF
最热视频
【百年真相】接班人到阶下囚 王洪文的官场浮沉
【财商天下】二十大决战打响 北京上海成筹码
【新闻看点】中国是疫情中心 民间早有预言
【秦鹏直播】布林肯及索罗斯谈中共为何有差别
【横河观点】布林肯谈对华三战略与拜登东亚行
【新闻大家谈】 李克强逆袭还是背锅?
如果您有新闻线索或资料给大纪元,请进入安全投稿爆料平台
评论