Safari浏览器被曝严重Bug！你的浏览历史记录和个人信息可能已泄露-技术圈

点击关注公众号，Java干货及时送达

粉丝福利：小编会从今天留言的小伙伴中随机抽赠送8.88元现金红包。娱乐抽奖，大家随缘积极参与啦，给生活一点小幸运~感谢大家的支持

长期以来，苹果都以保护用户的隐私安全为主要卖点。

许多用户之所以对苹果产品忠实，都来自于对iOS系统的优质体验和安全性的信任。

然而，这个曾被公认为最安全的主流操作系统，在过去几年里却不断地经历着“神话”被打破的冲击。

就在前几天，苹果刚刚修复了一个Bug——该Bug可能允许黑客使用户的iPhone陷入无限循环的崩溃中。

这一漏洞修复后没多久，浏览器指纹识别服务提供商FingerprintJS便再度曝光了Safari中的一个严重Bug。

据悉，该Bug会导致用户在网上的浏览记录和个人信息泄露，并可能波及到包括Chrome在内的第三方浏览器。

根据FingerprintJS发布的博客文章解释，苹果在Safari 15中的IndexedDB API实现方式，存在一个严重的安全隐患，导致了本次漏洞的出现。

据悉，IndexedDB是一种用于客户端存储大量结构化数据（包括文件/blob）的浏览器API，几乎所有主流浏览器都在使用。

IndexedDB数据存储方法会在用户访问网站时记录下网站的信息，并生成数据库。

一般来说，IndexedDB遵循的同源策略，会限制用户的数据只可被某个特定的网站访问。

正常情况下，网站只能访问自己的IndexedDB数据库，而不能接触其它网站的数据。

但研究人员发现，苹果在处理Safari的IndexedDB API时违反了同源策略。

这就导致任何使用IndexedDB的网站，都能够访问用户在其他网站生成的数据库。

其具体表现为，每当网站与其数据库交互时，处于同一浏览器中的所有其它活动框架、标签页、以及窗口，都会创建一个使用相同名称的新空数据库。

这样一来，无需用户进行特殊操作，网站便可以监控用户访问的其他站点，读取用户近期的浏览记录，甚至是个人信息。

而恶意网站便可以由此快速了解用户身份，还可以将同一用户使用的多个单独账户链接在一起。

根据FingerprintJS的描述，隐私浏览模式无法对这个Bug起到作用。

这一Bug主要出现在Safari 15的macOS、iOS和iPadOS版本中，Safari 14等旧版浏览器不受影响。

另外，所有使用苹果开源引擎WebKit的新版本浏览器也都存在这项Bug，包括部分第三方浏览器，比如Chrome。

这是因为，此前苹果要求iOS、iPadOS平台所有浏览器都必须使用WebKit引擎。

值得一提的是，在某些情况下，这些资源的加载似乎也会被Safari自带的跟踪预防功能阻止。

用户也可以使用adblocker等插件，默认阻止所有JavaScript，并且仅在受信任的站点上允许它，但这样一来也会影响浏览体验。

据悉，该漏洞在去年11月28日已被报告给WebKit bug Tracker。直到2022年1月17日，该Bug才被标记为已解决。

但是，用户还需要等待苹果通过软件更新来解决这个问题。在新系统发布前，该Bug依然会继续存在于用户的设备上。

实际上，这也并非是Safari浏览器首次被曝光存在隐私泄露问题。

早在2020年，谷歌的研究者便披露了Safari浏览器中的多个安全漏洞，这些漏洞让用户的浏览习惯能够被跟踪。

颇为讽刺的是，这些漏洞是在苹果推出的重磅功能“智能反追踪”（Intelligent Tracking Prevention）中发现，而它原本是为了保护用户隐私而设计。

正如曾发现过KeySteal零日漏洞的独立安全研究员所说，“如果大家想要入侵iPhone，Safari与iMessage就是最好的入口。”

因为WebKit不仅是Safari的基础，同时也是所有iOS上所有浏览器的基础。

在大多数安全研究人员看来，苹果强制使用WebKit会带来很多麻烦，因为这套浏览器引擎在某些方面的安全性上的确不及Chrome等其他浏览器。

事实证明，WebKit的缺陷也一次又一次成为了iOS攻击的切入点。


往
期
推
荐
1、火狐浏览器再翻车！被炮轰与骗子合作，多位大佬口吐芬芳
2、GET 和 POST请求的本质区别是什么？原来我一直理解错了
3、巧用Stream优化老代码，太清爽了！
4、你中招了吗？大量iPhone再次沦陷：垃圾短信卷土重来
5、支付宝架构师眼中的高并发架构，真是绝了！
点分享
点收藏
点点赞
点在看

Safari浏览器被曝严重Bug！你的浏览历史记录和个人信息可能已泄露

往期推荐

往
期
推
荐