新版Safari存安全漏洞 或泄漏用户个人信息

2022年01月17日科技
【新唐人北京时间2022年01月17日讯】资讯安全业者指出,新版Safari出现了严重漏洞,可能让用户的浏览记录和个资外泄。
上周五(1月14日),浏览器指纹识别与欺诈检测服务商Fingerprintjs在一篇博文中称(链结),新版Safari(Safari 15)出现一项严重漏洞。该漏洞源自Safari使用的浏览器排版引擎“WebKit”。
文章中称,在新版的WebKit中,IndexedDB API出现了错误,它没有遵守网站安全常用的“同源政策”(Same Origin Policy)。
“同源政策”意味着只有生成数据的网站才能访问它。例如,如果用户在一个分页(tab)中,打开电子邮件帐户,然后在另一个分页中打开恶意网页,“同源策略”会阻止恶意网页查看、读取您的电子邮件。
Fingerprintjs称,IndexedDB是一个用于客户端存储的浏览器API,旨在保存大量的数据。
这项错误允许任何使用IndexedDB的网站,登入其他使用IndexedDB网站的用户端资料库。正常状况下,这些资料应是各自独立的。
举例来说,透过该漏洞,当使用者从Google页面转移到其它网页浏览时,网页就可存取Google的ID资讯,进而搜集更多资料,确定用户的身分。
透过这个安全漏洞,即使开启Safari 15的“私密浏览”(private mode)模式,也无法完全防止资料外泄,只能防止两个分页相互读取。如果在同一分页上,接连浏览两个网站,资料也可能外泄。

iPhone、iPad上所有浏览器都遭殃

这项漏洞已影响到macOS上的Safari 15,以及iOS、iPadOS 15上的所有浏览器。因为根据Apple的App Store指南要求,在iPhone或iPad上的所有浏览器都需使用“WebKit”引擎。
目前,需要等待Apple软件更新,才能解决该错误。
Fingerprintjs指出,在此之前,用户保护自己的方式之一,是预设阻止所有JavaScript,仅在信任的网站允许,但这会让浏览网页时相当不便。
对于macOS用户来说,另一种方式是改用别的浏览器。
不过,对于iPhone和iPad来说,这个方法并没有用,只能使用Safari 14以前的版本。
(转自大纪元/责任编辑:叶萍)