该漏洞存在于苹果所有三个操作系统上的 Safari 的 IndexedDB 实现中。显然,网站可以查看任何域的数据库名称。通常,一个网站应该只能看到自己域的数据库名称,所以这绝对是一个安全问题。数据库的名称可用于从查找表中提取信息。
有了这些信息,您最近的浏览历史就会浮出水面。此外,由于 Google 服务会为您的每个登录帐户存储一个 IndexedDB 实例,因此您的帐户名称也可能会被泄露。
至于有人可以用这些信息做什么,他们可以抓取您的 Google ID,然后使用它来查找有关您的其他个人信息。
如果您想查看实际中的错误,可以 在 Mac、iPad 或 iPhone 上的Safari 浏览器中访问safarileaks.com 。如果您在 Mac 上尝试使用其他浏览器,您会看到一条消息,指出“您的浏览器不受影响。请在 macOS 上的 Safari 15 或 iOS 和 iPadOS 15 上的任何浏览器中打开此演示。” 如果你在 iPad 或 iPhone 上,它会以任何一种方式工作。
FingerprintJS 于 2021 年 11 月 28 日首次向 Apple 报告了该漏洞,但该问题尚未得到解决。希望问题公开的压力将推动苹果解决问题。
正文完
