小白号MacRumors报道称,根据浏览器指纹识别服务提供商FingerprintJS分享的一篇博文,WebKit的JavaScript API中一个名为IndexedDB的Bug可能会泄露用户最近的浏览历史甚至身份。
该漏洞允许任何使用IndexedDB的网站在用户浏览会话期间访问其他网站生成的IndexedDB数据库的名称。该漏洞允许网站跟踪用户访问的其他网站,因为每个网站的数据库名称通常是唯一的。正确的行为应该是网站只能访问自己的IndexedDB数据库。
FingerprintJS称,YouTube创建的数据库中包含了经过认证的谷歌用户ID,可以和谷歌API一起使用,获取头像等用户的个人信息。
据报道,这一Bug将影响使用苹果开源浏览器引擎WebKit的新版本浏览器,包括Mac版Safari 15以及iOS 15和iPadOS 15的所有版本Safari浏览器。该漏洞还会影响第三方浏览器,如iOS 15和iPadOS 15上的Chrome,因为苹果要求所有浏览器在iPhone和iPad上使用WebKit。FingerprintJS演示显示,Safari 14 for Mac等旧版浏览器不受影响。
评论前必须登录!
注册