【摘要】 1月18日消息:据Macrumors报道,浏览器指纹识别服务FingerprintJS周五发布的一篇博文称,WebKit在实现一个名为IndexedB的JavaScriptAPI
1月18日消息:据Macrumors报道,浏览器指纹识别服务FingerprintJS周五发布的一篇博文称,WebKit在实现一个名为IndexedB的JavaScriptAPI方面存在错误,可以显示用户最近的浏览历史甚至身份。
简而言之,该漏洞允许任何使用IndexedB的网站访问用户浏览会话期间生成的其他网站的IndexedB数据库个错误可能允许一个网站跟踪用户在不同标签或窗口访问的其他网站,因为每个网站的数据库名称通常是唯一的。正确的行为应该是,该网站只能访问自己的IndexedB数据库。
在某些情况下,网站在IndexedB数据库名称中使用独特的用户特定标识符。例如,YouTube创建的数据库包括用户认证的谷歌用户ID。根据FingerprintJS,该标识符可用于谷歌API获取相关用户的个人信息,如个人信息图片。这些个人信息可以帮助恶意行为者确定用户身份。
据报道,这个漏洞影响了使用苹果开源浏览器引擎WebKit的更新版本的浏览器,包括Mac版本的Safari15和所有版本的iOS15和iPadOS15的Safari。这个错误还影响到第三方浏览器,如iOS15和iPadOS15上的Chrome,因为苹果要求所有浏览器在iPhone和iPad上使用WebKit。FingerprintJS对bug的视频演示显示,Mac版本的Safari14和其他旧浏览器不受影响。