Safari 15 漏洞可能会泄露您最近的浏览活动和个人标识符

该错误可能会将您的 Google 用户 ID 暴露给其他网站

图片[1]-Safari 15 漏洞可能会泄露您最近的浏览活动和个人标识符-零度博客

根据浏览器指纹识别和欺诈检测服务(通过9to5Mac ) FingerprintJS 的调查结果, Safari 15中的一个错误可能会泄露您的浏览活动,还可能会泄露您的 Google 帐户所附的一些个人信息。该漏洞源于 Apple 实施IndexedDB的问题,IndexedDB是一种在浏览器上存储数据的应用程序编程接口 (API)。

正如 FingerprintJS 所解释的,IndexedDB 遵守同源策略,该策略限制一个来源与从其他来源收集的数据进行交互——本质上,只有生成数据的网站才能访问它。例如,如果您在一个选项卡中打开您的电子邮件帐户,然后在另一个选项卡中打开恶意网页,则同源策略会阻止恶意页面查看和干预您的电子邮件。

FingerprintJS 发现苹果在 Safari 15 中应用 IndexedDB API 实际上违反了同源策略。当网站与 Safari 中的数据库交互时,FingerprintJS 表示“在同一浏览器会话中的所有其他活动框架、选项卡和窗口中创建了一个具有相同名称的新(空)数据库。”

这意味着其他网站可以看到在其他网站上创建的其他数据库的名称,其中可能包含特定于您身份的详细信息。FingerprintJS 指出使用您的 Google 帐户的网站,例如 YouTube、Google 日历和 Google Keep,都会生成数据库,其名称中包含您唯一的 Google 用户 ID。您的 Google 用户 ID 允许 Google 访问您的公开信息,例如您的个人资料照片,Safari 漏洞可能会将这些信息暴露给其他网站。

FingerprintJS 创建了一个概念验证演示,如果您在 Mac、iPhone 或 iPad 上安装 Safari 15 及更高版本,您可以试用。该演示使用浏览器的 IndexedDB 漏洞来识别您打开(或最近打开)的网站,并展示利用该漏洞的网站如何从您的 Google 用户 ID 中抓取信息。它目前只检测到 30 个受该漏洞影响的流行网站,例如 Instagram、Netflix、Twitter、Xbox,但它可能影响的可能更多。

不幸的是,你无法解决这个问题,因为 FingerprintJS 说这个错误也会影响 Safari 上的隐私浏览模式。您可以在 macOS 上使用其他浏览器,但Apple 对 iOS 的第三方浏览器引擎禁令意味着所有浏览器都会受到影响。FingerprintJS 在 11 月 28 日向 WebKit Bug Tracker 报告了泄漏,但 Safari 还没有更新。The Verge联系了苹果公司,要求发表评论,但没有立即收到回复。

THE END
喜欢就支持一下吧
点赞2251 分享
谷歌新推出的 .Zip 和 .Mov 域名面临着重大安全隐患!-零度博客

谷歌新推出的 .Zip 和 .Mov 域名面临着重大安全隐患!

  一开始5 月,Google 发布了八个新的顶级域 (TLD)——URL 末尾的后缀,例如“.com”或“.uk”。这些小附录是几十年前开发的,用于扩展和组织 URL,多年来,非营利性互联网名称与数字地址...
admin的头像-零度博客admin
1.3W+6539
Adobe 准备向所有人免费提供网络版 Photoshop-零度博客

Adobe 准备向所有人免费提供网络版 Photoshop

Adobe 已开始在网络上测试免费使用的 Photoshop 版本,并计划向所有人开放该服务,以此向更多用户介绍该应用程序。 该公司现在正在加拿大测试免费版本,用户可以通过免费的 Adob​​e 帐户访问...
admin的头像-零度博客admin
1.3W+6540
【干货】 给大家带来多快超实用的电脑软件!-零度博客

【干货】 给大家带来多快超实用的电脑软件!

  1.Dropit 【点击下载】 2.DNS 服务器切换器【点击下载】 3.手心输入法【点击下载】 4.CCleaner【点击下载】 5.Honeyview【点击下载】 6.更多软件 【点击下载】
admin的头像-零度博客admin
1.9W+2250
Web3.0 网络是否真的能实现?它会带来什么后果! 答案就在这里 (2022)| 零度解说-零度博客
Windows 11  王炸更新! 系统全面接入 ChatGPT 和 New Bing,更强劲的 Windows Copilot 已上线, AI 时代来了! | 零度解说-零度博客

Windows 11 王炸更新! 系统全面接入 ChatGPT 和 New Bing,更强劲的 Windows Copilot 已上线, AI 时代来了! | 零度解说

https://youtu.be/cPSJ4HK1-1s   ------------------ Windows Copilot 和 最新版Windows 11 ISO下载:https://www.freedidi.com/9560.html
admin的头像-零度博客admin
1.3W+6539
泄露的图像显示了新的 Surface Go 3 哑光黑色选项-零度博客

泄露的图像显示了新的 Surface Go 3 哑光黑色选项

微软似乎正在准备 Surface Go 3 的哑光黑色版本。来自Twitter 上的Aggiornamenti Lumia 泄露的图像显示 10.5 英寸的 Surface Go 3 具有新的哑光黑色饰面。该设备在其他方面看起来与 Surface Go ...
admin的头像-零度博客admin
1.5W+2251
Windows 必备的 13个 CMD 命令,学会了约美女同事去..... 有事半功倍的效果!  | 零度解说-零度博客

Windows 必备的 13个 CMD 命令,学会了约美女同事去….. 有事半功倍的效果! | 零度解说

  可以壮胆的约会美女同事的发送指令: MSG /server:192.168.1.101 * '小美,下班后一起去吃饭呐,我是办公室里大壮!' 过CMD实现仿黑客帝国数字雨的代码: @echo off :line color 0a setl...
admin的头像-零度博客admin
1.4W+6540
炸翻全场!英伟达 CES 2025 发布会亮点回顾 :RTX50 显卡性能及价格,微型 AI 超算 + 中文直播内容全揭秘! | 零度解说-零度博客
Google、微软双重身份验证器!Authenticator-零度博客

Google、微软双重身份验证器!Authenticator

1.Google身份验证器 (Google Authenticator): 谷歌身份验证器是一款TOTP与HOTP的两步验证软件令牌,此软件用于Google的认证服务。此项服务所使用的算法已列于 RFC 6238 和 RFC 4226 中。 Go...
admin的头像-零度博客admin
1.7W+2251