近期,網絡安全團隊發現,iphone并沒有我們想象那樣安全。iPhone瀏覽器Safari 的 WebKit 引擎中 IndexedDB API 存在漏洞,這可能導致我們的瀏覽活動甚至用戶身份泄露給任何利用此漏洞的人。IndexedDB 是一種廣泛使用的瀏覽器 API,為防止跨站腳本攻擊導致數據泄露,IndexedDB 遵循“同源”策略,控制哪些資源可以訪問每條數據。
然而,FingerprintJS的分析師發現,IndexedDB API并未遵循 macOS 上Safari 15使用的 WebKit 應用中的同源策略,導致敏感數據泄露。此隱私侵犯漏洞還會影響在最新 IOS 和 iPadOS 版本中使用相同瀏覽器引擎的 Web 瀏覽器。
通過違反同源策略,在 iOS、iPadOS 和 macOS 上的 Safari 15 中實現 IndexedDB 允許任何網站繪制在同一會話中創建的數據庫名稱,由于數據庫名稱通常是唯一的且特定于網站,這本質上就像將瀏覽歷史泄露給任何人一樣。
據分析師稱,通過此漏洞識別某人需要登錄并訪問流行的網站,如 YouTube 和 Facebook,或谷歌日歷和谷歌 Keep 等服務。
值得注意的是,由于這是 WebKit 的存在的漏洞,因此任何使用此特定引擎的瀏覽器(例如,Brave 或 iOS 版 Chrome)也容易受到攻擊。該漏洞已于 2021 年 11 月 28 日向 WebKit Bug Tracker 報告,目前該漏洞仍未得到解決。
