蘋果Safari 15瀏覽器存漏洞 個人數據恐泄露

俄羅斯電視台報道，根據一家欺詐檢測機構報告，最近披露的蘋果Safari 15瀏覽器的一個漏洞，可以被惡意網站用來提取用戶瀏覽歷史記錄，並獲取谷歌ID和收集更多個資。

這家機構的全稱是“瀏覽器指紋庫欺詐檢測服務FingerprintJS”，識別出的問題存在於IndexedDB的應用程序編程接口（API）中，有關接口用於在瀏覽器中存儲大量數據。通常情況下，這些數據收集接口遵循同源策略：只允許網站訪問自身產生的數據，不允許訪問其他網站產生的數據。例如，如果用戶在一個瀏覽器標簽中打開電子郵件帳戶，且在第二個標簽中打開另一個網頁時，新網頁的代碼將無法訪問任何與電子郵件相關的數據。

然而，對於蘋果Safari 15瀏覽器來說，情況並非如此。由於蘋果應用了IndexedDB接口（API），每次網站與瀏覽器數據庫交互時，都會為所有其他活動標簽創建一個同名的新數據庫，也意味著每個這樣的站點，都可以訪問同時打開的其他所有站點的數據庫。

當用戶與需要個人數據的網頁（比如YouTube或谷歌賬戶）交互時，任何與谷歌ID鏈接的頁面都會創建具有谷歌用戶ID的數據庫，這些數據庫會與用戶打開的所有其他網站共享，因此可能會被不法分子利用，包括一旦他們知道用戶的谷歌ID，就會獲得更多的個人數據。

蘋果電腦MacOS操作系統的用戶可能只需使用Safari以外的瀏覽器就可以繞過這個漏洞，但是iPhone和iPad用戶幾乎無能為力，因為蘋果公司禁止所有iOS設備使用第三方瀏覽器引擎，這意味著所有瀏覽器都會受到影響，Safari 15上的私密瀏覽模式也會受到影響。

FingerprintJS甚至制作了一個特殊的演示程序，展示了Safari是如何收集網站數據、瀏覽歷史和個人數據的，從而顯示出用戶的網絡頭像，同時表示已經在去年11月28日報告了這個問題，目前為止還沒有發布修覆問題的更新，蘋果也沒有回應媒體的置評請求。

文/圖：互聯網