密碼全盜光!快關iPhone「這設定」保命 - 手機討論
By Elma
at 2022-01-18T20:53
at 2022-01-18T20:53
Table of Contents
2021年11/28已發現這個Webkit bug,FingerprintJS回報給蘋果。2022年1/17蘋果標記為已
解決(resolved),可是目前他們測試iOS和MacOS的Safari還是會出現此問題。
此外,台灣媒體報導都說在更新釋出前只能關閉JS,但忽略原文還有一句「僅在信任的網站
開啟JS」,沒JS是要怎麼活啦。
FingerprintJS網站的原文做了demo演示這個bug,如果不怕死可以用iPhone Safari去他們
的網站看有多少個人資訊會洩漏:
https://youtu.be/Z7dPeGpCl8s
至於會不會洩漏密碼? 先看原理
FingerprintJS原文提及
"Safari 15’s implementation of the IndexedDB API that lets any website track yo
ur internet activity and even reveal your identity"
「Safari 15的IndexedDB API實作可能會讓網站得以追蹤你的網路活動甚至是真實身分。」
再引用網易科技的報導解釋原理:
「IndexedDB遵守同源策略,該策略限制一個源與其他源收集的數據交互。 本質上,只有生
成數據的網站才能存取。舉例來說,如果您在某個頁籤開啟電子郵件帳戶,然後在另一個頁
籤中開啟惡意網頁,同源策略會阻止惡意頁面查看和干預使用者的電子郵件。」
「蘋果在Safari 15中應用IndexedDB API違反了同源策略。 當網站與Safari中的資料庫交
互時,在同一瀏覽器會話(session)中的所有其他活動框架、頁籤和視窗都會創建一個同名
的新(空)資料庫。 」
簡單來說,Safari存取IndexedDB的行為不合規範,所有視窗共用同一個資料庫,導致A網站
能夠看到另一個B網站所建立的資料庫名稱。
這可能會導致資料外洩,例如因Google帳戶API所產生的識別ID,被追蹤甚至還原出用戶身
分。更糟糕的是網頁可在背景蒐集使用者資料而不被察覺。
此外,有些熱門網站設計不良,存取IndexedDB不需使用者輸入密碼驗證。
又,由於iOS瀏覽器app全使用它家的引擎之故,每款瀏覽器都存在洩漏風險,不像macOS起
碼還可以換其他瀏覽器躲避。
但這不代表Safari密碼會被偷光,起碼FingerprintJS原文沒有推論到這裡。只能說個人資
料有風險,而且不易察覺。
且對蘋果來說這麼重視隱私的公司,這種bug不修說不過去。
參考資料
Martin Bajanik. 2022/1/15. Exploiting IndexedDB API information leaks in Safari
15. FingerprintJS.
https://reurl.cc/GoxGgA
网易科技报道。2022/1/18。苹果Safari浏览器被曝漏洞 或泄露浏览活动和谷歌账户信息。
网易。https://reurl.cc/QjLVk2
--
https://i.imgur.com/qBnCgUO.jpg
https://i.imgur.com/klpjZcQ.jpg
https://i.imgur.com/yLTmoHs.jpg
https://i.imgur.com/WepO17T.jpg
--
解決(resolved),可是目前他們測試iOS和MacOS的Safari還是會出現此問題。
此外,台灣媒體報導都說在更新釋出前只能關閉JS,但忽略原文還有一句「僅在信任的網站
開啟JS」,沒JS是要怎麼活啦。
FingerprintJS網站的原文做了demo演示這個bug,如果不怕死可以用iPhone Safari去他們
的網站看有多少個人資訊會洩漏:
https://youtu.be/Z7dPeGpCl8s
至於會不會洩漏密碼? 先看原理
FingerprintJS原文提及
"Safari 15’s implementation of the IndexedDB API that lets any website track yo
ur internet activity and even reveal your identity"
「Safari 15的IndexedDB API實作可能會讓網站得以追蹤你的網路活動甚至是真實身分。」
再引用網易科技的報導解釋原理:
「IndexedDB遵守同源策略,該策略限制一個源與其他源收集的數據交互。 本質上,只有生
成數據的網站才能存取。舉例來說,如果您在某個頁籤開啟電子郵件帳戶,然後在另一個頁
籤中開啟惡意網頁,同源策略會阻止惡意頁面查看和干預使用者的電子郵件。」
「蘋果在Safari 15中應用IndexedDB API違反了同源策略。 當網站與Safari中的資料庫交
互時,在同一瀏覽器會話(session)中的所有其他活動框架、頁籤和視窗都會創建一個同名
的新(空)資料庫。 」
簡單來說,Safari存取IndexedDB的行為不合規範,所有視窗共用同一個資料庫,導致A網站
能夠看到另一個B網站所建立的資料庫名稱。
這可能會導致資料外洩,例如因Google帳戶API所產生的識別ID,被追蹤甚至還原出用戶身
分。更糟糕的是網頁可在背景蒐集使用者資料而不被察覺。
此外,有些熱門網站設計不良,存取IndexedDB不需使用者輸入密碼驗證。
又,由於iOS瀏覽器app全使用它家的引擎之故,每款瀏覽器都存在洩漏風險,不像macOS起
碼還可以換其他瀏覽器躲避。
但這不代表Safari密碼會被偷光,起碼FingerprintJS原文沒有推論到這裡。只能說個人資
料有風險,而且不易察覺。
且對蘋果來說這麼重視隱私的公司,這種bug不修說不過去。
參考資料
Martin Bajanik. 2022/1/15. Exploiting IndexedDB API information leaks in Safari
15. FingerprintJS.
https://reurl.cc/GoxGgA
网易科技报道。2022/1/18。苹果Safari浏览器被曝漏洞 或泄露浏览活动和谷歌账户信息。
网易。https://reurl.cc/QjLVk2
--
https://i.imgur.com/qBnCgUO.jpg
https://i.imgur.com/klpjZcQ.jpg
https://i.imgur.com/yLTmoHs.jpg
https://i.imgur.com/WepO17T.jpg
--
Tags:
手機
All Comments
By Eden
at 2022-01-17T12:32
at 2022-01-17T12:32
By Connor
at 2022-01-20T02:41
at 2022-01-20T02:41
By Odelette
at 2022-01-17T12:32
at 2022-01-17T12:32
By Eartha
at 2022-01-20T02:41
at 2022-01-20T02:41
By Tracy
at 2022-01-17T12:32
at 2022-01-17T12:32
By Agnes
at 2022-01-20T02:41
at 2022-01-20T02:41
By Hardy
at 2022-01-17T12:32
at 2022-01-17T12:32
By Faithe
at 2022-01-20T02:41
at 2022-01-20T02:41
By Hamiltion
at 2022-01-17T12:32
at 2022-01-17T12:32
By Hardy
at 2022-01-20T02:41
at 2022-01-20T02:41
By Emily
at 2022-01-17T12:32
at 2022-01-17T12:32
By Poppy
at 2022-01-20T02:41
at 2022-01-20T02:41
By Steve
at 2022-01-17T12:32
at 2022-01-17T12:32
By Bennie
at 2022-01-20T02:41
at 2022-01-20T02:41
By Charlie
at 2022-01-17T12:32
at 2022-01-17T12:32
Related Posts
千元快充之王!老外終於等到Redmi Note 1
By Faithe
at 2022-01-18T20:37
at 2022-01-18T20:37
SE+ 5G尺寸不變規格升級 明年發5.7" SE4
By Rosalind
at 2022-01-18T20:02
at 2022-01-18T20:02
OPPO首款平板OPPO Pad搭載S870 11"2K120
By Hedy
at 2022-01-18T19:32
at 2022-01-18T19:32
你喜歡怎樣的手機尺寸呢
By Ethan
at 2022-01-18T18:28
at 2022-01-18T18:28
我該去消保會開華碩的調解嗎?
By Ula
at 2022-01-18T16:10
at 2022-01-18T16:10