Apple 已修復 Safari 的網站歷史資料洩露 IndexedDB 隱私漏洞

Apple在2022年1月底時已修復其WebKit瀏覽器引擎中的一個漏洞,該漏洞自去年11月公佈此問題後,即持續在Safari 15瀏覽器中洩露個人隱私資料。

反詐騙和機器人檢測的製造商FingerprintJS於去年11月28日向Apple揭露了隱私漏洞問題,並在1月14 日公開發布。

其漏洞在於,當網站與 IndexedDB資料庫互動時,瀏覽器會在屬於同一瀏覽器的其他活動框架、選項和視窗中建立一個具有相同名稱的空資料庫。而大部分瀏覽器在開每個網站時都會新建一個 IndexedDB,讓它只能由該網站存取。

所以雖然新資料庫是空的,但它的名字和既有的實際資料庫是一模一樣的,這就構成了隱私外洩的可能。因為這些框架、選項和視窗可能與不同的來源(例如網站)相關聯,所以這些網站的資料庫名稱的可用性違反了同源策略(SOP)

例如,Google會將其Google用戶ID添加到YouTube.com等網站的 IndexedDB 資料庫名稱中。此識別碼可用於查詢Google的People API,或是根據權限獲取用戶的圖片和其他訊息。

多年來,Apple 持續地拒絕同意在 iOS 中使用其他瀏覽器的引擎,這點一直是競爭瀏覽器製造商的痛處。這導致人們爭辯說Safari 是新的 Internet Explorer—一個讓其他人望而卻步的瀏覽器—英國反壟斷監管機構對於Apple的平台也抱持著可能造成壟斷的看法。

由於iOS 瀏覽器不會有其他競爭者,Apple 沒有壓力去配合其他對手的軟體更新節奏。在 IndexedDB 錯誤公開後兩天,Apple面對公眾壓力做出了回應。根據FingerprintJS工程師 Martin Bajanik 說法,Apple 工程師於 1 月 16 日開始著手修復 IndexDB 漏洞,並在1月底時修復好此漏洞。

相關連結:
Thomas Claburn (2022). Apple preps fix for Safari’s web-history-leaking IndexedDB privacy bug. The Register.
檢自:
https://www.theregister.com/2022/01/21/apple_safari_webkit_indexeddb/(Feb. 04, 2022)

回到頂端