蘋果 Safari瀏覽器新漏洞敲響跨站使用者跟蹤的警鐘

語言: CN / TW / HK

防欺詐軟體公司 FingerprintJS 日前披露, Safari 15中的IndexedDB API執行漏洞已經被惡意網站利用,它可能被用於跟蹤使用者的網路瀏覽資料。更糟糕的是,這個漏洞甚至有暴露使用者的身份的風險。

FingerprintJS公司將該漏洞命名為IndexedDB Leaks, 並於2021 年 11 月 28 日向蘋果公司報告了該問題。

IndexedDB是網路瀏覽器提供的低階 JavaScript 應用程式程式設計介面 (API),用於管理結構化資料物件(如檔案和 blob型別資料)的NoSQL 資料庫。

Mozilla組織在其API文件中指出:“和大多數網路儲存解決方案一樣,IndexedDB遵循同源策略,因此使用者可以在一個域中訪問儲存的資料而不能在不同的域中訪問資料。”

同源機制是一種基本的安全機制,它確保從不同來源獲取的資源彼此隔離。也就是說,URL的方案(協議)、主機(域)和埠號是相互隔離的。通過限制一個源載入的指令碼如何與另一個源載入的資源互動可以防止流氓網站執行任意JavaScript程式碼從另一個域(如電子郵件服務)讀取資料,從而隔離潛在的惡意指令碼,減少潛在的攻擊向量。

然而,Safari瀏覽器處理跨 iOS、iPadOS 和 macOS 系統中的 Safari IndexedDB API 的方式並非如此。每次網站與資料庫互動時,都會在同一瀏覽器會話中的所有其他活動框、選項卡和視窗中建立一個具有相同名稱的新的空資料庫。

這種侵犯隱私的處理方式允許了網站獲取使用者在不同選項卡或視窗中訪問的其他網站。這就更不用說在 YouTube 和 Google 日曆等 Google 服務上準確識別使用者了。因為這些網站建立的IndexedDB資料庫包含了經過認證的谷歌使用者ID,這是唯一標識單個 Google 帳戶的內部識別符號。

這不僅意味著不受信任的或惡意網站可以瞭解使用者的身份,而且還允許網站將同一使用者使用的多個單獨帳戶連結在一起。

雪上加霜的是,如果使用者是從瀏覽器視窗的同一選項卡中訪問多個不同的網站的,那麼即使他使用的是Safari 15瀏覽器中的隱私瀏覽模式也並不能倖免遇難。

“這是一個巨大的漏洞,”谷歌 Chrome 瀏覽器的開發者倡導者 Jake Archibald 在推特上寫道。“在 OSX 作業系統上,Safari 使用者可以暫時切換到另一個瀏覽器以避免他們的資料跨源洩漏,可是iOS 使用者沒有這樣的選擇,因為蘋果禁止其他瀏覽器引擎。”

參考來源:

http://thehackernews.com/2022/01/new-unpatched-apple-safari-browser-bug.html