Safari浏览器曝出API漏洞 可泄露浏览数据和用户身份
长期以来,苹果一直以隐私保护为主要卖点,大力推荐自家的 Safari 浏览器,比如部署了防止跨站点追踪的举措和隐私报告。然而近日,该软件却曝出了处理 IndexedDB API 时的一个漏洞,或导致签署努力功亏一篑、泄露与用户浏览习惯相关的隐私信息。
(来自:FingerprintJS)
浏览器指纹识别服务 FingerprintJS 在一篇博客文章中指出,苹果在 Safari 15 中的 IndexedDB API 实现方式,存在一个严重的隐私数据泄露隐患。
研究人员指出,该漏洞使得任何 Web 追踪器能够窥探用户的互联网活动,并最终确定其身份。
据悉,IndexedDB 是被广大浏览器客户端所采纳的一款存储 API,多用于保存数据库等数据。
通常情况下,同源策略会限制哪些数据可被某个特定的网站访问。
此外一般只允许一个网站只能访问其生成的数据、而不能摸到其它网站的数据。
尴尬的是,在 Safari 15 for macOS、iOS 和 iPadOS 版本中,我们惊讶地发现 ——
- 每当网站与其数据库交互时,处于同一浏览器会话中的所有其它活动框架、选项卡、以及窗口,都会创建一个使用相同名称的新空数据库。
- 由此造成的数据泄露是个问题,因其可让别有用心的站点知悉处在同一会话中的不同选项卡、或窗口中访问的其它站点。
此外考虑到部分数据库具有唯一、且特定于某个网站的名称,问题就变得更加糟糕。
对于可共享相同身份验证凭据的站点(比如 Gmail 和 YouTube),数据库名称还可包含经过身份验证的相同 Google 用户 ID 。
- How IndexedDB in Safari 15 leaks your browsing activity(via)
测试发现,具有普遍唯一标识符的索引数据库,是由广告网络所创建的。庆幸的是,Safari 的追踪预防功能阻止了这些数据库名称以这种方式泄露。
即使隐私浏览窗口也无法避免受到该问题的影响,但浏览会话仅限于单个选项卡,因而能够在一定程度上缓解 IndexedDB API 这一缺陷的影响。
目前用户对该问题几乎无能为力,只有在默认情况下阻止 JavaScript 才行(仅在受信任的站点上启用,但可能对浏览体验造成不利影响)。
macOS 用户可临时选用其它浏览器(Google Chrome / Mozilla Firefox 等),但 iOS / iPadOS 用户就没有那么幸运了,只能等待苹果和 WebKit 开发团队在下一版更新中修复。
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
俄罗斯声称已经捣毁知名勒索软件团伙REvil
据Securityaffairs网站报道,俄罗斯联邦安全局(FSB)宣布已捣毁REvil勒索软件团伙,该团伙是针对大型组织(如Kaseya和JBS USA)的一系列攻击的幕后黑手。 俄罗斯警方分别在莫斯科、圣彼得堡、列宁格勒和利佩茨克地区逮捕了14名团伙成员,并搜查了25处地址,没收了计算机设备和加密货币钱包。FSB声称,他们已经确定了REvil团伙的所有成员,并监视他们的行动。 FSB表示,美国相关部门提供的情报为搜查提供了依据,他们报告了团伙头目的重要线索,并掌握了其通过引入恶意软件、加密信息和勒索资金等方式对外国高科技公司发动网络攻击的事件细节。FSB以此确定了 REvil 团伙的完整组成,并对非法活动做了记录。 据报道,俄罗斯当局还查获了 20 辆豪华汽车以及加密货币和法定货币,包括超过 4.26 亿卢布(约 550 万美元)、60万美元以及50万欧元((约57万美元),REvil 成员还被指控从外国公民的银行账户中窃取资金。 在去年11月,多国联合执法部门在罗马尼亚和科威特捣毁了REvil的附属组织,这些组织曾对数千名受害者发动过勒索攻击,勒索金额超过2亿欧元(约2.3亿美元...
- 下一篇
欧盟针对一家“虚拟”电力公司进行了网络攻击演习
Security Affairs 消息,欧盟上周对芬兰一家“虚拟”电力公司进行了一次模拟网络攻击演习,以测试欧盟成员国的网络防御能力。 彭博社发布文章称,欧盟针对芬兰一家“虚拟”电力公司进行了一次网络攻击演习,旨在测试其网络防御能力。此次网络演习不仅可以测试欧盟成员国国内基础设施的复原力,还可以测试成员国之间合作以及联合应对危机的反应能力。据悉,这次模拟当地时间周五进行,预计将会持续六周时间,将在2月底欧盟外长会议上结束。 网络攻击演习主要是针对一家大型能源公司使用的软件进行网络攻击,之后网络安全专家们选择各成员国和组织机构广泛采用的软件,以评估演习事件带来的影响。 欧盟的应急响应主要来自各成员国计算机应急小组,演习测试了他们在监测事件和寻找事件起源方面的能力,以及采取何种方式来减轻网络攻击的能力。 值得一提的是,芬兰网络测试演习开始后,几十家乌克兰公司同样受到了网络攻击。 参考文章:https://securityaffairs.co/wordpress/126792/security/eu-simulation-cyber-attack.html
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- SpringBoot2整合MyBatis,连接MySql数据库做增删改查操作
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果
- CentOS8,CentOS7,CentOS6编译安装Redis5.0.7
- MySQL8.0.19开启GTID主从同步CentOS8
- CentOS7,CentOS8安装Elasticsearch6.8.6
- Docker使用Oracle官方镜像安装(12C,18C,19C)
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- Linux系统CentOS6、CentOS7手动修改IP地址
- CentOS7安装Docker,走上虚拟化容器引擎之路