首页 > 网络安全 > Apple Safari 浏览器漏洞:允许跨站点跟踪用户访问活动

Apple Safari 浏览器漏洞:允许跨站点跟踪用户访问活动

发表于:2022-01-18 10:52:24 0 分享
近日,据网络安全研究人员发现,AppleSafari15在IndexedDBAPI的实现中引入的软件错误可能被恶意网站滥用,以跟踪用户在Web浏览器中的在线活动,更糟糕的是,甚至泄露他们的身……

近日,据网络安全研究人员发现,Apple Safari 15在IndexedDB API的实现中引入的软件错误可能被恶意网站滥用,以跟踪用户在Web浏览器中的在线活动,更糟糕的是,甚至泄露他们的身份。

该漏洞被称为IndexedDB Leaks,由欺诈保护软件公司FingerprintJS披露,该公司于2021年11月28日向iPhone制造商报告了该问题

IndexedDB 是由 Web 浏览器提供的低级 JavaScript 应用程序编程接口 (API),用于管理结构化数据对象(如文件和 blob)的NoSQL 数据库

"像大多数网络存储解决方案一样,IndexedDB遵循同源策略,"Mozilla在其API文档中指出。"因此,虽然您可以访问域中存储的数据,但无法访问不同域中的数据。

同源是一种基本的安全机制,可确保从不同(即 URL 的方案(协议)、主机(域)和端口号的组合)检索到的资源彼此隔离。这实际上意味着"http[:]//example[.]com/" 和 "https[:]//example[.]com/" 不是同一来源,因为它们使用不同的方案。

通过限制由一个源加载的脚本如何与来自另一个源的资源进行交互,这个想法是通过阻止流氓网站运行任意JavaScript代码来从另一个域(例如电子邮件服务)读取数据来隔离潜在的恶意脚本并减少潜在的攻击媒介。

但Safari在safari中跨iOS,iPadOS和macOS处理IndexedDB API的方式并非如此。

"在macOS上的Safari 15中,以及在iOS和iPadOS 15上的所有浏览器中,IndexedDB API违反了同源政策,"Martin Bajanik在一篇文章中。"每次网站与数据库交互时,都会在同一浏览器会话中的所有其他活动框架、选项卡和窗口中创建一个具有相同名称的新(空)数据库。

这种侵犯隐私的结果是,它允许网站了解用户在不同的标签页或窗口中访问的其他网站,更不用说在YouTube和Google日历等Google服务服务上精确识别用户,因为这些网站创建了IndexedDB数据库,其中包含经过身份验证的Google用户ID,这是唯一标识单个Google帐户的内部标识符。

"这不仅意味着不可信或恶意的网站可以了解用户的身份,而且还允许将同一用户使用的多个独立帐户链接在一起,"Bajanik说。

更糟糕的是,如果用户从浏览器窗口中的同一选项卡中访问多个不同的网站,则泄漏也会影响Safari 15中的"隐私浏览"模式

"这是一个巨大的错误,"Google Chrome的开发者倡导者Jake Archibald在推特上写道。"在OSX上,Safari用户可以(暂时)切换到另一个浏览器,以避免他们的数据在源之间泄漏。iOS用户没有这样的选择,因为苹果对其他浏览器引擎实施了禁令。”

目前Apple还未回复,请登入龙名网,关注后续发展。


undefined

声明:本文系作者授权龙名社区发表,未经许可,不得转载。

如有侵权,请联系平台删除。


分享

客服
热线

0371-55555365
客服服务热线

关注
微信

关注官方微信
顶部