据今日俄罗斯电视台(RT)报道 , 据一家欺诈检测机构报告 , 最近披露的苹果Safari 15浏览器的一个漏洞 , 可以被恶意网站用来提取用户浏览历史记录 , 并获取其谷歌ID , 以收集更多个人数据 。
今日俄罗斯电视台报道配图
这家机构的全称是“浏览器指纹库欺诈检测服务FingerprintJS” , 其识别出的问题存在于IndexedDB的应用程序编程接口(API)中 , 该接口用于在浏览器中存储大量数据 。
通常情况下 , 这些数据收集接口遵循同源策略:只允许网站访问自身产生的数据 , 而不允许访问其他网站产生的数据 。 例如 , 如果用户在一个浏览器标签中打开电子邮件帐户 , 而在第二个标签中打开另一个网页时 , 新网页的代码将无法访问任何与电子邮件相关的数据 。
然而 , 对于苹果Safari 15浏览器来说 , 情况并非如此 。 由于苹果应用了IndexedDB接口(API) , 每次网站与浏览器数据库交互时 , 都会为所有其他活动标签创建一个同名的新数据库 。 这意味着每个这样的站点 , 都可以访问同时打开的其他所有站点的数据库 。
当用户与需要个人数据的网页(如视频网站YouTube或谷歌账户)交互时 , 任何与谷歌ID链接的页面都会创建具有谷歌用户ID的数据库 , 这些数据库会与用户打开的所有其他网站共享 , 因此可能会被不法分子利用 , 包括一旦他们知道用户的谷歌ID , 就会获得更多的个人数据 。
苹果电脑MacOS操作系统的用户可能只需使用Safari以外的浏览器就可以绕过这个漏洞 , 但iPhone和iPad用户几乎无能为力 , 因为苹果公司禁止所有iOS设备使用第三方浏览器引擎 , 这意味着所有浏览器都会受到影响 , Safari 15上的私密浏览模式也会受到影响 。
【浏览器|报告称苹果Safari 15浏览器存漏洞,可能导致个人数据泄露】FingerprintJS甚至还制作了一个特殊的演示程序 , 展示了Safari是如何收集网站数据、浏览历史和个人数据的 , 从而显示出用户的网络头像 。 该机构还表示 , 已经在去年11月28日报告了这个问题 , 但到目前为止还没有发布修复该问题的更新 , 苹果也没有回应媒体的置评请求 。 (编辑:SDY)
- 本文转自:科技日报【今日封面】近日|我国首次实现低轨宽带卫星批产;研究称奥密克戎在陶瓷表面存活时间最短丨科技早新闻
- AppleVision|彭博社:“Apple Vision”或是苹果AR/VR头显具体名称
- NVIDIA|5nm也撑不住 消息称RTX 4090/Ti显卡功耗飙升:要上1200W电源
- iQOO Neo5S体验报告:搭载独特双芯,还你游戏真本色
- 2021首份报告出炉,苹果差点干掉三星
- EFF 称赞 Android 的 2G 网络关闭开关
- MIUI13深度使用报告,这还是我认识的MIUI吗?网友评价很真实
- PS5和XSX黄牛声称自己的倒卖工作是培养年轻企业家
- 巨头|银行系统面临风险?英国监管机构据称将加强对云计算巨头的审查
- indexeddb|苹果 Safari 浏览器 Bug 曝光:网站可实时跟踪用户最近浏览活动