稍早前,在Safari 15中发现了一个较为严重的程序错误(bug),它能够泄露用户的浏览记录和谷歌账号信息,当中包括用户ID和头像照片。
这个程序错误由FingerprintSJ发现,这也是苹果公司使用一个叫IndexedDB的API方式造成的,这不仅影响到macOS上的Safari,而且还影响到iOS和iPadOS 15。
简而言之,苹果(Apple)以这样种方式实现IndexedDB,即网站可以看到其他网站的名称和其他细节,而它不应该这样做;当你使用谷歌账户登录网站,如YouTube,它能够使其他标签页(tabs)和窗口看到你的独特谷歌用户ID,当你掌握了该ID,你也可以看到别人的人像照片。
如果你想了解更多,欢迎浏览safarileaks.com,这是由FingerprintJS制作的网站,并展示该程序错误的工作原理,但你需要在macOS上的Safari 15、iOS或iPadOS 15上的浏览器中打开网页。
我用macOS上的Safari 15进行测试,该网站显示有5个数据库名称被泄露,我也在手机上的谷歌浏览器应用上进行相同的测试,同样获得类似的结果。
如果你用像YouTube类似的网站打开新的标签页,它将检测到你的谷歌用户ID,并显示大家甚至骇客能够看到的内容,如你的人像照片。
其他受影响的网站包括彭博社(Bloomberg)、Slack Web、谷歌日历(Google Calendar)、Dropbox、Instagram、Netflix、Twitter和WhatsApp Web。
据悉,该程序错误在2021年11月28日被发现,截至1月17日,苹果还没有修复它。
根据FingerprintJS说法,甚至还影响到私人浏览,如果你担心这个问题,你可以在macOS上使用其他浏览器,如Chrome、Firefox或者Brave,至于iOS和iPadOS用户,大家必须小心,尽量不要访问任何来历不明的网站,这是你能做的事。
【资料来源】