【網絡私隱】Safari 15現Bug!洩露瀏覽數據 或暴露用戶身份

科技 14:02 2022/01/17

分享:

分享:

據瀏覽器指紋識別服務商《FingerprintJS》的一篇博文指出,Apple在Safari 15中實現 IndexedDB API 的方式存在問題。根據研究人員的說法,該漏洞可以允許任何網站追蹤瀏覽器的互聯網活動,並可能暴露用戶的身份。(法新社)

蘋果(Apple)近年持續強化旗下產品及系統的私隱及安全保護,包括在Safari瀏覽器推出防止跨網站追蹤的措施和Safari瀏覽器私隱報告等功能。不過,Safari 15最近被揭有嚴重網絡安全漏洞 (bug),使黑客可輕易取得用戶的個人資訊、帳號和瀏覽紀錄。

據瀏覽器指紋識別服務商《FingerprintJS》的一篇博文指出,Apple在Safari 15中實現 IndexedDB API 的方式存在問題。根據研究人員的說法,該漏洞可以允許任何網站追蹤瀏覽器的互聯網活動,並可能暴露用戶的身份。

【fb新功能】Facebook私隱中心將改版 新介面助用戶管理帳號權限

使網站可了解用戶訪問哪些其他網站

IndexedDB是一個瀏覽器API,主要的網絡瀏覽器會用作儲存結構化數據及數據庫等。通常情況下,使用「同源政策」(same-origin policy)將限制哪個網站可以存取哪些數據,通常一個網站只能訪問它產生的數據,而不能存取其他網站的數據。

但在MacOS、iOS和iPadOS的Safari 15中,就發現IndexedDB違反了「同源政策」。研究人員聲稱,每當一個網站與其數據庫交互時,「在同一瀏覽器中的所有其他活動框架、標籤和窗口,都會創建一個使用相同名稱並且新的空白數據庫。」

【網絡監管】涉違反歐盟私隱法 法國將罰Google、Facebook 2.38億美元

由於一些網站使用包括特定於用戶的唯一標識符的數據庫名稱,或會令問題變得更加嚴重。對於可以共享相同身份驗證憑據的網站(例如Gmail和YouTube),數據庫名稱可以包含相同身份認證的Google用戶ID。

Google用戶ID或被網站完全識別

當該Google用戶ID被用作Google內部的標識符,並與一個賬戶相關聯。這樣便可能令使用這個標識符從Google的API中提取用戶個人訊息。

據悉,FingerPrint JS早在去年11月底,將Safari 15的問題報告予Apple,惟研究人員指出,有關問題須待Apple更新瀏覽器或作業系統後,才可有效解決。至於針對此問題進行的修正或更新,仍有待Apple官方公布。

《創業ideas》每集請來香港企業品牌,分享疫下營商Tips。即看最新一集:

責任編輯:陳卓賢

開啟hket App,閱讀全文
緊貼財經時事新聞分析,讚好hket Facebook 專版
訂閱《香港經濟日報》電郵通訊
收取第一手財經新聞資訊 了解更多投資理財知識 提交代表本人同意收取香港經濟日報集團所發出的推廣訊息,你也可以查閱本網站的私隱政策使用條款