大香蕉综合在线观看视频-日本在线观看免费福利-欧美激情一级欧美精品性-综合激情丁香久久狠狠

好房網(wǎng)

網(wǎng)站首頁 互聯(lián)網(wǎng) > 正文

蘋果Safari15瀏覽器中的漏洞可能會(huì)泄露瀏覽活動(dòng)和個(gè)人標(biāo)識(shí)符

2022-02-12 08:48:56 互聯(lián)網(wǎng) 來源:
導(dǎo)讀 根據(jù)瀏覽器指紋識(shí)別和欺詐檢測(cè)服務(wù) FingerprintJS 的最新發(fā)現(xiàn),一個(gè) Safari 15 漏洞可能會(huì)泄露瀏覽活動(dòng)并泄露附加到Google帳戶的個(gè)人

根據(jù)瀏覽器指紋識(shí)別和欺詐檢測(cè)服務(wù) FingerprintJS 的最新發(fā)現(xiàn),一個(gè) Safari 15 漏洞可能會(huì)泄露瀏覽活動(dòng)并泄露附加到Google帳戶的個(gè)人信息。

該漏洞源于 Apple 實(shí)施 IndexedDB,這是一種在瀏覽器上存儲(chǔ)數(shù)據(jù)的應(yīng)用程序編程接口 (API)。FingerprintJS 說,API 遵循同源政策,限制一個(gè)來源與從其他來源收集的數(shù)據(jù)進(jìn)行交互——這意味著,只有生成數(shù)據(jù)的網(wǎng)站才能訪問它。

但是,Safari 15 中 Apple 的 IndexedDB API 違反了同源策略。FingerprintJS 說,當(dāng)網(wǎng)站與 Safari 數(shù)據(jù)庫交互時(shí),會(huì)在同一瀏覽器會(huì)話、應(yīng)用程序中的所有活動(dòng)選項(xiàng)卡、框架和窗口中創(chuàng)建一個(gè)具有相同名稱的新數(shù)據(jù)庫。

該錯(cuò)誤使其他網(wǎng)站能夠查看在其他網(wǎng)站上創(chuàng)建的其他數(shù)據(jù)庫的名稱,其中包含特定于用戶身份的詳細(xì)信息。FingerprintJS 指出,使用 Google Keep、YouTube 和 Google Calendar 等 Google 帳戶的網(wǎng)站會(huì)生成名稱中帶有唯一 Google 用戶 ID 的數(shù)據(jù)庫。此 Google 用戶 ID 允許 Google 訪問用戶的公共信息,例如個(gè)人資料圖片,該漏洞可能會(huì)將這些信息暴露給其他網(wǎng)站。

欺詐檢測(cè)服務(wù)為在 iPhone、Mac 或 iPad 上使用 Safari 15 及更高版本的消費(fèi)者創(chuàng)建了一個(gè)概念驗(yàn)證演示。該演示使用 Safari 的 IndexedDB 漏洞并識(shí)別用戶打開的站點(diǎn),并展示利用該漏洞的站點(diǎn)如何從 Google 用戶 ID 中抓取信息。目前,它只能檢測(cè)到 30 個(gè)受該漏洞影響的熱門網(wǎng)站,包括 Instagram、Twitter、Netflix 和 Xbox。

由于 FingerprintJS 表示該漏洞也影響了 Safari 的隱私瀏覽模式,因此用戶幾乎無法解決此問題。Mac 用戶可以在 macOS 上使用不同的瀏覽器,但 Apple 禁止 iOS 上的第三方瀏覽器引擎意味著所有瀏覽器都會(huì)受到影響。盡管 FingerprintJS 在 11 月 28 日?qǐng)?bào)告了該錯(cuò)誤,但 Apple 尚未發(fā)布 Safari 更新。

版權(quán)說明: 本文由用戶上傳,如有侵權(quán)請(qǐng)聯(lián)系刪除!

標(biāo)簽:

最新文章: