苹果Safari 15传有Bug 用户密码、浏览纪录恐外洩
来源:倍可亲(backchina.com)国外科技网站实测发现,苹果iOS 15、iPadOS 15的浏览器Safari出现程式错误(bug),可能让用户的浏览纪录、Google帐号、密码等机密资讯洩漏。
根据国外科技网站FingerprintJS实测,苹果iOS 15、iPadOS 15的浏览器Safari出现程式错误(bug),正常来说,使用者照理只能从IndexedDB资料库看到自己的资料,但这个Bug会导致用户在浏览网站的期间,被其他有心人士看到IndexedDB裡的完整资料库。
FingerprintJS指出,IndexedDB是一种用于客户端储存的浏览器API,旨在保存大量数据;但在macOS上的 Safari 15以及iOS和iPadOS 15上的所有浏览器中,IndexedDB API违反了同源策略,允许任意网站了解用户访问的网站。
此外,FingerprintJS观察,倘若用户使用Google帐号的网站,例如YouTube、Google日曆和 Google Keep 等,用户的个人资料、照片,都有可能因为Safari的 bug而让骇客轻易取得这些讯息。
FingerprintJS还指出,如果用户的Mac、iPhone或 iPad上有Safari 15或更高的版本,皆有可能受到影响。目前FingerprintJS的检测结果显示,有超过30个网站受影响,但怀疑这个数字在实际场景中会更多。
FingerprintJS也提出「如何保护自己」的方法,其中一种选择是调整Safari设定、关闭Javas**t,仅在受信任的网站上允许启用,但这将使得浏览网页不方便,在Mac上Safari用户的另一种选择是临时切换到不同的浏览器,但不幸的是,在iOS和iPadOS上,这不是一个选项,因为所有浏览器都会受到影响。
报导也指出,苹果近期已开始着手处理该错误,但是,在发布软体更新之前,该错误会继续存在于最终用户中;苹果目前暂时未回覆。
