未修补的新 Apple Safari 浏览器错误允许跨站点用户跟踪
Apple Safari 15 的 IndexedDB API 实现中引入的软件错误可能被恶意网站滥用,以跟踪用户在网络浏览器中的在线活动,更糟糕的是,甚至泄露他们的身份。
Apple Safari 15 的 IndexedDB API 实现中引入的软件错误可能被恶意网站滥用,以跟踪用户在网络浏览器中的在线活动,更糟糕的是,甚至泄露他们的身份。
该漏洞被称为IndexedDB Leaks,由欺诈保护软件公司 FingerprintJS 披露,该公司于 2021 年 11 月 28 日向 iPhone 制造商报告了该问题。
IndexedDB 是 Web 浏览器提供的低级 JavaScript 应用程序编程接口 (API),用于管理结构化数据对象(如文件和 blob )的NoSQL 数据库。
“与大多数 Web 存储解决方案一样,IndexedDB 遵循同源策略,”Mozilla在其API文档中指出。“因此,虽然您可以访问域内存储的数据,但您无法访问不同域中的数据。”
同源是一种基本的安全机制,可确保从不同来源检索的资源(即方案(协议)、主机(域)和 URL 的端口号的组合)相互隔离。这实际上意味着“https://example[.]com/”和“https://example[.]com/”的来源不同,因为它们使用不同的方案。
通过限制一个来源加载的脚本如何与另一个来源的资源进行交互,其想法是隔离潜在的恶意脚本并通过防止流氓网站运行任意 JavaScript 代码来从另一个域读取数据来减少潜在的攻击向量,例如,电子邮件服务。
“在 macOS 上的 Safari 15 以及 iOS 和 iPadOS 15 上的所有浏览器中,IndexedDB API 违反了同源策略,”Martin Bajanik在一篇文章中说。“每次网站与数据库交互时,都会在同一浏览器会话中的所有其他活动框架、选项卡和窗口中创建一个具有相同名称的新(空)数据库。”这种侵犯隐私权的后果是,它允许网站了解用户在不同选项卡或窗口中访问的其他网站,更不用说在 YouTube 和 Google 日历等 Google 服务服务上准确识别用户,因为这些网站创建 IndexedDB 数据库,其中包括经过身份验证的 Google 用户 ID,它是唯一标识单个 Google 帐户的内部标识符。
“这不仅意味着不受信任或恶意网站可以了解用户的身份,而且还允许将同一用户使用的多个单独帐户链接在一起,”Bajanik 说。
更糟糕的是,如果用户从浏览器窗口的同一选项卡中访问多个不同的网站,泄漏还会影响Safari 15 中的隐私浏览 模式。我们已与 Apple 联系以获取进一步评论,如果我们收到回复,我们将更新故事。“这是一个巨大的错误,”谷歌 Chrome 浏览器的开发者倡导者 Jake Archibald 在推特上写道。 “在 OSX 上,Safari 用户可以(暂时)切换到另一个浏览器,以避免他们的数据跨源泄漏。iOS 用户没有这样的选择,因为 Apple 禁止其他浏览器引擎。”
关于作者
评论0次