大香蕉综合在线观看视频-日本在线观看免费福利-欧美激情一级欧美精品性-综合激情丁香久久狠狠

好房網(wǎng)

網(wǎng)站首頁 互聯(lián)網(wǎng) > 正文

蘋果Safari15瀏覽器中的漏洞可能會泄露瀏覽活動和個人標識符

2022-02-12 08:48:56 互聯(lián)網(wǎng) 來源:
導(dǎo)讀 根據(jù)瀏覽器指紋識別和欺詐檢測服務(wù) FingerprintJS 的最新發(fā)現(xiàn),一個 Safari 15 漏洞可能會泄露瀏覽活動并泄露附加到Google帳戶的個人

根據(jù)瀏覽器指紋識別和欺詐檢測服務(wù) FingerprintJS 的最新發(fā)現(xiàn),一個 Safari 15 漏洞可能會泄露瀏覽活動并泄露附加到Google帳戶的個人信息。

該漏洞源于 Apple 實施 IndexedDB,這是一種在瀏覽器上存儲數(shù)據(jù)的應(yīng)用程序編程接口 (API)。FingerprintJS 說,API 遵循同源政策,限制一個來源與從其他來源收集的數(shù)據(jù)進行交互——這意味著,只有生成數(shù)據(jù)的網(wǎng)站才能訪問它。

但是,Safari 15 中 Apple 的 IndexedDB API 違反了同源策略。FingerprintJS 說,當網(wǎng)站與 Safari 數(shù)據(jù)庫交互時,會在同一瀏覽器會話、應(yīng)用程序中的所有活動選項卡、框架和窗口中創(chuàng)建一個具有相同名稱的新數(shù)據(jù)庫。

該錯誤使其他網(wǎng)站能夠查看在其他網(wǎng)站上創(chuàng)建的其他數(shù)據(jù)庫的名稱,其中包含特定于用戶身份的詳細信息。FingerprintJS 指出,使用 Google Keep、YouTube 和 Google Calendar 等 Google 帳戶的網(wǎng)站會生成名稱中帶有唯一 Google 用戶 ID 的數(shù)據(jù)庫。此 Google 用戶 ID 允許 Google 訪問用戶的公共信息,例如個人資料圖片,該漏洞可能會將這些信息暴露給其他網(wǎng)站。

欺詐檢測服務(wù)為在 iPhone、Mac 或 iPad 上使用 Safari 15 及更高版本的消費者創(chuàng)建了一個概念驗證演示。該演示使用 Safari 的 IndexedDB 漏洞并識別用戶打開的站點,并展示利用該漏洞的站點如何從 Google 用戶 ID 中抓取信息。目前,它只能檢測到 30 個受該漏洞影響的熱門網(wǎng)站,包括 Instagram、Twitter、Netflix 和 Xbox。

由于 FingerprintJS 表示該漏洞也影響了 Safari 的隱私瀏覽模式,因此用戶幾乎無法解決此問題。Mac 用戶可以在 macOS 上使用不同的瀏覽器,但 Apple 禁止 iOS 上的第三方瀏覽器引擎意味著所有瀏覽器都會受到影響。盡管 FingerprintJS 在 11 月 28 日報告了該錯誤,但 Apple 尚未發(fā)布 Safari 更新。

版權(quán)說明: 本文由用戶上傳,如有侵權(quán)請聯(lián)系刪除!

標簽:

最新文章: