近期,网络安全团队发现,iphone并没有我们想象那样安全。iPhone浏览器Safari 的 WebKit 引擎中 IndexedDB API 存在漏洞,这可能导致我们的浏览活动甚至用户身份泄露给任何利用此漏洞的人。IndexedDB 是一种广泛使用的浏览器 API,为防止跨站脚本攻击导致数据泄露,IndexedDB 遵循“同源”策略,控制哪些资源可以访问每条数据。
然而,FingerprintJS的分析师发现,IndexedDB API并未遵循 macOS 上Safari 15使用的 WebKit 应用中的同源策略,导致敏感数据泄露。此隐私侵犯漏洞还会影响在最新 IOS 和 iPadOS 版本中使用相同浏览器引擎的 Web 浏览器。
通过违反同源策略,在 iOS、iPadOS 和 macOS 上的 Safari 15 中实现 IndexedDB 允许任何网站绘制在同一会话中创建的数据库名称,由于数据库名称通常是唯一的且特定于网站,这本质上就像将浏览历史泄露给任何人一样。
据分析师称,通过此漏洞识别某人需要登录并访问流行的网站,如 YouTube 和 Facebook,或谷歌日历和谷歌 Keep 等服务。
值得注意的是,由于这是 WebKit 的存在的漏洞,因此任何使用此特定引擎的浏览器(例如,Brave 或 iOS 版 Chrome)也容易受到攻击。该漏洞已于 2021 年 11 月 28 日向 WebKit Bug Tracker 报告,目前该漏洞仍未得到解决。
