根據瀏覽器指紋識別服務商 FingerprintJS 的一篇報導文章中指出,Safari 15 的 IndexedDB API 有嚴重的漏洞,它可以讓任何網站追蹤你的網路行為,並且顯示你的身份。
Safari Bug 讓你網路行為和身份都可以被追蹤
FingerprintJS 在這篇文章中說明,Safari 在 IndexedDB API 隱藏了一個嚴重的漏洞,這個 Safari Bug 會讓任何網站都可以追蹤你的瀏覽記錄、網路行為,甚至 Google 登錄的帳戶資料。
IndexedDB 是一種嵌入在客戶端瀏覽器的 API,可以用來儲存大量的數據,它支援所有主要瀏覽器,可以用於瀏覽器內的功能,如書籤,以及 Web 應用程式,如電子郵件。在「正常」情況下,網站只能使用自己的 IndexedDB 資料庫,是瀏覽器的同源政策 (Same-origin policy),也是安全政策,但是 Safari Bug 沒有遵守同源策略,允許任何使用 IndexedDB 的網站,在使用者瀏覽活動期間可訪問其他網站產生的 IndexedDB 資料,這意思就是在有心人士的使用上,就可以在不同 IndexedDB 資料中找到可能有記錄個資資料的內容。
| 感覺哪裡怪怪? >> Apple 針對全新隱私設定,拍攝一支幽默廣告 << |
FingerprintJS 還實際演示 Safari 在 Mac 和 iOS 上的 IndexedDB 錯誤情況,它不僅可以自己的資料庫,還可看到不同資料庫的名稱,然後可從資料庫名稱中找到特定標籤,如:Google 為每個登錄的帳戶都儲存一個 IndexedDB,惡意網站可以抓取你的 Google ID,然後使用 ID 來查找有關你的其他個人資料。
他們檢查 Alexa 最多拜訪量的 1000 個網站首頁,確認有多少網站使用 IndexedDB,並且可以透過它們資料庫交互進行唯一識別,結果發現至少有 30 多個網站,不需要進行任何額外的身份驗證都可以,這還只是檢查網站首頁,子頁或特定使用者登錄頁面都沒查驗。
在 Apple 更新前,該如何避免?
Safari Bug 主要是使用較新版本的瀏覽器,包含 Mac 的 Safari 15、 iOS 15 和 iPadOS 15 上的 Safari,也影響在 iOS 15 和 iPadOS 15 上的 Chrome,較舊版本的瀏覽器就不影響,像 Safari 14 for Mac。FingerprintJS 表示他們已經在 2021 年 11 月 28 日向 Apple 報告了該漏洞,但至今尚未解決。
在未解決前,可以避免或減少洩漏的方式:
- Mac 先使用其他瀏覽器。
- iOS / iPadOS 可使用 Safari 私密視窗,但單一標籤頁只瀏覽一個網站。
FingerprintJS 提供 Demo 頁面,顯示說明任何網站都可拜訪你近期的瀏覽活動,也可抓到你的 Google ID 和個人資料圖片。
如果想第一時間看到更多 Apple 相關資訊,請追蹤蘋果迷粉絲團以掌握最新訊息,並且訂閱我們 YouTube 頻道,取得直播第一時間通知,或者加入蘋果迷社團跟大家一起討論使用心得哦~
如果想要與蘋果迷近距離聊天,可以加入我們的 YouTube 頻道會員,前往會員專屬的 Discord 聊天室找我們。
