苹果 Safari 浏览器漏洞允许网站实时追踪用户最近浏览活动
1月18日消息:据MacRumors报道,浏览器指纹识别服务FingerprintJS周五发布的一篇博文称,WebKit对一个名为IndexedDB的JavaScript API的实现存在一个错误,可以显示用户最近的浏览历史甚至是身份。
简而言之,该漏洞允许任何使用IndexedDB的网站访问其他网站在用户浏览会话期间生成的IndexedDB数据库的名称。这个错误可能允许一个网站跟踪用户在不同标签或窗口中访问的其他网站,因为每个网站的数据库名称通常是唯一的。正确的行为应该是,网站只能访问他们自己的 IndexedDB 数据库。
在某些情况下,网站在 IndexedDB 数据库名称中使用独特的用户特定标识符。例如,YouTube创建的数据库在名称中包括用户经过认证的谷歌用户ID,根据FingerprintJS,这个标识符可用于谷歌API,以获取有关用户的个人信息,如个人资料图片。这些个人信息可以帮助恶意行为者确定用户的身份。
据介绍,该漏洞影响了使用苹果开源浏览器引擎WebKit的较新版本的浏览器,包括Mac版Safari15和所有版本的iOS15和iPadOS15的Safari。这个错误还影响到iOS15和iPadOS15上的Chrome等第三方浏览器,因为苹果要求所有浏览器在iPhone和iPad上使用WebKit。FingerprintJS有一个关于该bug的视频演示表明,Mac版Safari14等旧版浏览器不受影响。
您可能也感兴趣:
官方微博/微信

每日头条、业界资讯、热点资讯、八卦爆料,全天跟踪微博播报。各种爆料、内幕、花边、资讯一网打尽。百万互联网粉丝互动参与,TechWeb官方微博期待您的关注。

想在手机上看科技资讯和科技八卦吗?
想第一时间看独家爆料和深度报道吗?
请关注TechWeb官方微信公众帐号:
1.用手机扫左侧二维码;
2.在添加朋友里,搜索关注TechWeb。
为您推荐
2月6日开启预售!vivo X90告白配色官宣:号称白色手机天花板
国行5699元起!三星Galaxy S23系列先行者计划开启:国行发布会时间已确定
荣耀Magic5通过3C认证:1/1.1英寸主摄 媲美竞品1英寸大底
一加Ace 2或涨价:堆料太猛 成本压力大
采埃孚将投资 Wolfspeed 的下一代 200mm 碳化硅工厂
欧冶半导体完成数亿元A1轮融资 打造“全车智能”的芯片底座
外媒:三星计划一季度推出77英寸OLED电视和49英寸OLED显示器
京东云架构师揭秘DevOps平台八大关键特性
微信一手机号可注册两账号!网友吐槽:没注册成功
更多
- 外媒:三星计划一季度推出77英寸OLED电视和49英寸OLED显示器
- LG化学计划年内推出用于电动汽车电池的单晶阴极材料
- 三星晶圆代工业务去年营业利润预计超过2万亿韩元 今年将更高
- 福特公布第四季度营收好于预期 同比增长17%
- 苹果营收近4年来首次不及预期 库克称主要与iPhone 14 Pro供应有关
- 谷歌CEO:公司将推出自家AI语言模型工具 类似于ChatGPT
- 消息称苹果公司将不再任命新的工业设计负责人
- 亚马逊四季度净销售额1492亿美元 云计算业务营收仍在增加
- Alphabet Q4营收和利润均低于分析师预期 谷歌云营收73亿美元
- 高通2023财年第一财季营收同比下降12% 净利同比下降34%