你有沒有想過,如果有一天,你的浏覽器記錄被公之于衆,會是什麼情況?
是果子的話,可能連夜買票逃離地球。
近日,有消息報道 Safari 浏覽器存在一個嚴重的 BUG 。
該漏洞可能會洩露使用者的浏覽活動以及使用者谷歌賬戶的一些個人資訊連結。
具體是在 Safari 中名為 IndexedDB 的 JavaScript API 的 Webkit 實作中發現該漏洞的。
簡單來說,IndexedDB(索引資料庫)會在使用者浏覽網站時記錄下網站的資訊,比如名稱,使用者名資訊等,然後生成對應資料庫。
由于被索引的資料庫與特定源相關聯,是以隻有源網站才能通路這些資料。
然而,根據這次公布的BUG,導緻了不同網站也可以通路其它網站生成的 IndexedDB 資料庫,是以能夠讀取到使用者的浏覽記錄和個人資訊。
* 圖源網 僅供示例
可能有人會問,這個漏洞會不會讀取到浏覽器的 Cookies ?
Cookies 能夠詳細記錄通路過的網站、何時通路、以及停留多久時間等。如果這個被讀取了,那危害性質要高好幾個層級。
因為有了 Cookies 資料後,某些網站就會惡意的根據喜好推送相關廣告或進行資訊販賣。
好消息是,目前來看還沒有這方面風險。
當然,對于任何人來說,隐私有洩露風險終歸是不爽的。
并且 Safari 浏覽器這次的 BUG 不單單隻是手機,由于蘋果的通用标準,還會影響到 iOS 15、macOS Monterey 和 iPadOS 15 所有版本上的 Safari 15。
不過蘋果電腦的處境要好一些,它可以使用 Safari 以外的浏覽器進行規避。
但是手機和平闆就沒這麼幸運了...
因為蘋果要求所有浏覽器在 iPhone 和 iPad 上都得使用 WebKit 網站渲染引擎,即便你換上其它三方浏覽器,比如 Chrome 或 Microsoft Edge,也有可能遭此漏洞風險。
并且,即便使用 “隐私模式”浏覽網頁也沒有用。
目前隻能等待蘋果和 WebKit 開發團隊在下一版更新中修複了。
不過真的是太慢了...
根據發現該漏洞的機構 FingerprintJS 表示,他們在 11 月 28 日就向蘋果 WebKit Bug Tracker 報告了洩漏,但蘋果并未對此做出回應。
* 圖源 FingerprintJS
能不能快一點!?雖然目前還沒有關于大的影響事件爆料出。
但果子真的隻是擔心大家的隐私安全問題。
果子從來沒有浏覽什麼奇怪的網頁,絕對沒有!
其實,Safari并不止一次出現漏洞問題。
在 2019 年 8 月的時候,谷歌就向蘋果披露了許多 Safari 浏覽器的漏洞,盡管蘋果工程師在 12 月的一篇文章中表示修複了問題,并感謝谷歌提供的幫助。
但谷歌 Chrome 浏覽器工程總監 Justin Schuh 則表示:盡管蘋果聲稱該漏洞已經修複,但實際情況并非如此。蘋果這些隐私漏洞比本應阻止的跟蹤類型要嚴重地多。
而離我們比較近的,就是關于著名越獄團隊盤古通過 Safari 漏洞成功實作網頁遠端越獄的事件,雖然這個漏洞後來在 iOS 15.2 中修複了。但也足夠說明 Safari 浏覽器并沒有大家想象的那麼安全。
其實不止是蘋果,不少産品也因為浏覽器漏洞而被“越獄”成功。
比如 3DS 就是從浏覽器漏洞開始;PSV 是浏覽器漏洞;PS4 也是浏覽器漏洞。而且這些機器應該都是采用的同一種核心,這種開源核心即是 Webkit 。
是以後來 PS5 把浏覽器砍了 ~
回到正題,盡管蘋果大力宣傳安全隐私保護,推出了 App 權限追蹤功能,但世界沒有不透風的牆,即便強如蘋果,也有翻車的時候。
世界上沒有任何一家公司能夠信誓旦旦的保證他們的系統萬無一失,漏洞永遠在,需要一直不斷完善的進行修複。
不止是蘋果,希望這些大公司,能做到表率作用,把使用者隐私實實在在放在心底,問題肯定會有,但希望能夠第一時間積極的去解決,後續更好的進行維護、自檢、及修複工程。
作為使用者,用起來也更加放心。