日前,瀏覽器指紋識別與欺詐檢測服務商FingerprintJS在一篇微網誌中稱(鏈結),新版Safari(Safari 15)出現一項嚴重漏洞。該漏洞源自Safari使用的瀏覽器排版引擎「WebKit」。
文章中稱,在新版的WebKit中,IndexedDB API出現了錯誤,它沒有遵守網站安全常用的「同源政策」(Same-origin policy)。
「同源政策」意味著只有生成數據的網站才能訪問它。例如,如果用戶在一個分頁(tab)中,打開電子郵件帳戶,然後在另一個分頁中打開惡意網頁,「同源策略」會阻止惡意網頁查看、讀取您的電子郵件。
FingerprintJS稱,IndexedDB是一個用於客戶端存儲的瀏覽器API,旨在保存大量的數據。
這項錯誤允許任何使用IndexedDB的網站,登入其他使用IndexedDB網站的用戶端資料庫。正常狀況下,這些資料應是各自獨立的。
舉例來說,透過該漏洞,當使用者從Google頁面轉移到其他網頁瀏覽時,網頁就可存取Google的ID資訊,進而搜集更多資料,確定用戶的身分。
透過這個安全漏洞,即使開啟Safari 15的「私密瀏覽」(private mode)模式,也無法完全防止資料外洩,只能防止兩個分頁相互讀取。如果在同一分頁上,接連瀏覽兩個網站,資料也可能外洩。
iPhone、iPad上所有瀏覽器都遭殃
這項漏洞已影響到macOS上的Safari 15,以及iOS、iPadOS 15上的所有瀏覽器。因為根據Apple的App Store指南要求,在iPhone或iPad上的所有瀏覽器都需使用「WebKit」引擎。
目前,需要等待Apple軟件更新,才能解決該錯誤。
FingerprintJS指出,在此之前,用戶保護自己的方式之一,是預設阻止所有JavaScript,僅在信任的網站允許,但這會讓瀏覽網頁時相當不便。
對於macOS用戶來說,另一種方式是改用別的瀏覽器。
不過,對於iPhone和iPad來說,這個方法並沒有用,只能使用Safari 14以前的版本。◇