Don't Miss

Safari 15現漏洞 恐洩瀏覽紀錄

By on January 18, 2022

原文刊於信報財經新聞「StartupBeat創科鬥室

蘋果公司(Apple Inc.)旗下網頁瀏覽器Safari 15版本爆出嚴重漏洞,用戶瀏覽紀錄及谷歌(Google)賬戶等資訊有機會外洩。今次事故影響範圍甚廣,涉及iOS、iPadOS及macOS等。

黑客可盜Google賬戶資訊

美國瀏覽器指紋識別供應商FingerprintJS在網誌指出,事故源於WebKit引擎內,一項名為IndexedDB架構JavaScript程式碼API(應用程式介面)出現漏洞所致。IndexedDB為儲存用戶端數據庫的瀏覽器API,支援大多數瀏覽器,獲廣泛應用。

黑客可利用WebKit引擎漏洞,從Safari 15 取得User ID等Google賬戶資訊。(FingerprintJS網上圖片)

黑客可利用WebKit引擎漏洞,從Safari 15 取得User ID等Google賬戶資訊。(FingerprintJS網上圖片)

惟在Safari 15版本,IndexedDB API違反同源政策(Same Origin Policy),意即只有同源網站可相互存取資料的規定;故所有使用IndexedDB API的網站,均可跨網域、跨網站追蹤用戶瀏覽紀錄。據悉,黑客甚至可利用此漏洞,取得用戶Google賬戶資訊,包括User ID及頭像等。即使用戶開啟Safari的私密瀏覽模式,亦難阻資料外洩。

科技網媒MacRumors表示,鑑於蘋果要求第三方瀏覽器(例如Chrome),須在iPhone及iPad上使用WebKit引擎,故用戶若在iOS 15及iPadOS 15使用Chrome瀏覽器,亦有相關的資安風險。不過,Safari 14或其他較舊的版本,暫不受相關漏洞影響。

即使用戶開啟Safari的私密瀏覽模式,亦難阻資料外洩。(蘋果公司圖片)

即使用戶開啟Safari的私密瀏覽模式,亦難阻資料外洩。(蘋果公司圖片)

蘋果至今未修正堵塞

一眾果粉該如何自保?FingerprintJS製作Demo網站,供用戶自行測試其裝置是否中招,該網站亦建議有關Mac用戶,可考慮停用所有JavaScript程式碼,選擇每次授權信任網站,減少資料外洩風險,惟此舉會令用戶上網非常不便,亦不適用於iPhone及iPad用戶。FingerprintJS強調,最理想解決方法是待蘋果一方修正及更新軟件,方可堵截漏洞。早在去年11月28日,FingerprintJS已向蘋果滙報有關漏洞,惟至今仍未修復。科技媒體Engadget亦曾向蘋果查詢事件,暫未獲回覆。

支持 StartupBeat

如欲投稿、報料,發布新聞稿或採訪通知,按這裏聯絡我們