蘋果 Safari瀏覽器新漏洞敲響跨站使用者跟蹤的警鐘
防欺詐軟體公司 FingerprintJS 日前披露, Safari 15中的IndexedDB API執行漏洞已經被惡意網站利用,它可能被用於跟蹤使用者的網路瀏覽資料。更糟糕的是,這個漏洞甚至有暴露使用者的身份的風險。
FingerprintJS公司將該漏洞命名為IndexedDB Leaks, 並於2021 年 11 月 28 日向蘋果公司報告了該問題。
IndexedDB是網路瀏覽器提供的低階 JavaScript 應用程式程式設計介面 (API),用於管理結構化資料物件(如檔案和 blob型別資料)的NoSQL 資料庫。
Mozilla組織在其API文件中指出:“和大多數網路儲存解決方案一樣,IndexedDB遵循同源策略,因此使用者可以在一個域中訪問儲存的資料而不能在不同的域中訪問資料。”
同源機制是一種基本的安全機制,它確保從不同來源獲取的資源彼此隔離。也就是說,URL的方案(協議)、主機(域)和埠號是相互隔離的。通過限制一個源載入的指令碼如何與另一個源載入的資源互動可以防止流氓網站執行任意JavaScript程式碼從另一個域(如電子郵件服務)讀取資料,從而隔離潛在的惡意指令碼,減少潛在的攻擊向量。
然而,Safari瀏覽器處理跨 iOS、iPadOS 和 macOS 系統中的 Safari IndexedDB API 的方式並非如此。每次網站與資料庫互動時,都會在同一瀏覽器會話中的所有其他活動框、選項卡和視窗中建立一個具有相同名稱的新的空資料庫。
這種侵犯隱私的處理方式允許了網站獲取使用者在不同選項卡或視窗中訪問的其他網站。這就更不用說在 YouTube 和 Google 日曆等 Google 服務上準確識別使用者了。因為這些網站建立的IndexedDB資料庫包含了經過認證的谷歌使用者ID,這是唯一標識單個 Google 帳戶的內部識別符號。
這不僅意味著不受信任的或惡意網站可以瞭解使用者的身份,而且還允許網站將同一使用者使用的多個單獨帳戶連結在一起。
雪上加霜的是,如果使用者是從瀏覽器視窗的同一選項卡中訪問多個不同的網站的,那麼即使他使用的是Safari 15瀏覽器中的隱私瀏覽模式也並不能倖免遇難。
“這是一個巨大的漏洞,”谷歌 Chrome 瀏覽器的開發者倡導者 Jake Archibald 在推特上寫道。“在 OSX 作業系統上,Safari 使用者可以暫時切換到另一個瀏覽器以避免他們的資料跨源洩漏,可是iOS 使用者沒有這樣的選擇,因為蘋果禁止其他瀏覽器引擎。”
參考來源:
http://thehackernews.com/2022/01/new-unpatched-apple-safari-browser-bug.html
- 奧地利、愛沙尼亞重要機構或正成為俄黑客目標
- 埃隆•馬斯克“助長”加密貨幣新騙局
- Pwn2Own 2022比賽最後一日,Windows 11接連被黑3次
- 給安全平臺編寫外掛模組的思路分享
- 德州近200萬個人資訊被曝光了三年
- VMware 修補了多個產品中的關鍵身份驗證繞過漏洞
- 微軟:警惕針對 MSSQL 伺服器的暴力攻擊
- 警惕間諜軟體!逾200 Playstore應用程式或存在風險
- 委內瑞拉心臟病專家被指控是Thanos勒索軟體的幕後主使
- iPhone曝出新的攻擊面,即使關閉也可執行惡意軟體
- HTML附件在網路釣魚攻擊中至今仍很流行
- 紅隊滲透專案之SickOs 1.1
- 鏈家IT管理員刪除資料庫,被判7年有期徒刑
- Sysrv 殭屍網路新變種正攻擊 Windows及Linux 伺服器
- 深度洞察 |關於JavaScript開源生態中安全漏洞傳播及其演變分析
- ElasticSearch伺服器配置錯誤,暴露579GB使用者網站記錄
- 既能挖礦還能勒索,Eternity 惡意軟體工具包正通過Telegram傳播
- 埠掃描技術實現分析
- 新型隱形 Nerbian RAT 惡意軟體橫空出世
- 研究人員發現一種新的網路釣魚即服務——Frappo