一直以来,iPhone一直以信息保密为首要产品卖点,大力强烈推荐自己家的 Safari 浏览器,例如布署了避免跨网站跟踪的措施和个人隐私汇报。殊不知近日,此软件却曝出了解决 IndexedDB API 时的一个系统漏洞,或造成签定勤奋功亏一篑、泄漏与客户访问习惯性有关的个人隐私信息。
(来源于:FingerprintJS)
浏览器指纹验证服务项目 FingerprintJS 在一篇文章中指出,iPhone在 Safari 15 中的 IndexedDB API 完成方法,存有一个明显的个人隐私数据泄漏安全隐患。
科学研究工作人员指出,该系统漏洞促使一切 Web 跟踪器可以窥视客户的互联网技术主题活动,并最后确认其真实身份。
据了解,IndexedDB 是被众多浏览器手机客户端所采取的一款储存 API,多适用于储存数据库等数据。
一般来说,同源策略会限定什么数据可被某一特殊的网页访问。
除此之外一般只容许一个网站只有浏览其产生的数据、而不可以触到其他网址的数据。
难堪的是,在 Safari 15 for macOS、iOS 和 iPadOS 版本中,大家诧异地发觉 ——
- 每每网址与其说数据库互动时,处在同一浏览器对话中的全部其他主题活动架构、菜单栏、及其对话框,都是会建立一个应用同样名字的新空数据库。
- 从而产生的数据泄漏是个问题,以其可使居心叵测的网站悉知处于同一对话中的不一样菜单栏、或对话框中浏览的其他网站。
除此之外充分考虑一部分数据库具备唯一、且特殊于某一网址的名字,问题就变的更为槽糕。
针对可共享资源同样身份认证凭证的网站(例如 Gmail 和 YouTube),数据库名字还可包括通过身份认证的同样 Google 客户 ID 。
检测发觉,具备广泛唯一标志符的数据库索引数据库,是由广告宣传互联网所建立的。幸运的是,Safari 的跟踪防止作用阻拦了这种数据库名字以这样的方法泄漏。
即使个人隐私访问对话框也没法防止遭受该问题的危害,但访问对话仅限单独菜单栏,因此可以在一定水平上减轻 IndexedDB API 这一缺点的危害。
现阶段消费者对该问题几乎束手无策,仅有在默认设置状况下阻拦 JavaScript 才行(仅在受信赖的网站上开启,但很有可能对访问感受导致不良危害)。
macOS 客户可临时性采用其他浏览器(Google Chrome / Mozilla Firefox 等),但 iOS / iPadOS 客户就没那样好运了,只有等候iPhone和 WebKit 开发设计精英团队在下一版升级中修补。