Safari 15 的 bug 讓你的 Google 帳戶資訊有機會遭到竊取
蘋果的 iOS 裝置以及 MacOS 裝置,一直以來都內建 Safari 瀏覽器,也是不少蘋果用戶習慣使用的軟體,不過如果你在上面登入 Google 帳戶的話要小心了,因為最近有網路安全機構發現,Safari 15 的一個 bug,讓你的 Google 帳戶資訊很容易被取得。
網路安全機構 FingerprintJS 最近揭發,Safari 15 出現了 bug,讓使用者的 Google 帳戶資訊容易被竊取,Safari 15 採用了 IndexedDB API,在使用者瀏覽網站時,會建立一個基於「同源政策」,只有該網站能存取的資料庫,以此保護使用者萬一點擊了惡意連結,可以避免惡意網頁存取到其他網頁的狀況。
不過 Safari 15 上的 IndexedDB 卻違反了同源政策,讓其他網站可以任意讀取資料庫名稱,而這些名稱很可能就含有,或能當成線索找出使用者的個人資料,比如 Google 服務的就以使用者的 Google 使用者 ID 命名,有心人士就可以循線找到你的 Google 帳戶以及瀏覽公開資訊,例如你的大頭照。
FingerprintJS 表示連隱私模式都受這個漏洞影響,MacOS 電腦可以改用其他瀏覽器,但 iOS 裝置的搜尋引擎被蘋果綁死,所以這個問題暫時無解,而 FingerprintJS 已經在去年 11 月 28 日向蘋果回報,不過到目前為止蘋果還沒有做出任何補救措施。
引用來源:9to5Mac、The Verge
網路安全機構 FingerprintJS 最近揭發,Safari 15 出現了 bug,讓使用者的 Google 帳戶資訊容易被竊取,Safari 15 採用了 IndexedDB API,在使用者瀏覽網站時,會建立一個基於「同源政策」,只有該網站能存取的資料庫,以此保護使用者萬一點擊了惡意連結,可以避免惡意網頁存取到其他網頁的狀況。
不過 Safari 15 上的 IndexedDB 卻違反了同源政策,讓其他網站可以任意讀取資料庫名稱,而這些名稱很可能就含有,或能當成線索找出使用者的個人資料,比如 Google 服務的就以使用者的 Google 使用者 ID 命名,有心人士就可以循線找到你的 Google 帳戶以及瀏覽公開資訊,例如你的大頭照。
FingerprintJS 表示連隱私模式都受這個漏洞影響,MacOS 電腦可以改用其他瀏覽器,但 iOS 裝置的搜尋引擎被蘋果綁死,所以這個問題暫時無解,而 FingerprintJS 已經在去年 11 月 28 日向蘋果回報,不過到目前為止蘋果還沒有做出任何補救措施。
引用來源:9to5Mac、The Verge
廣告
網友評論 0 回覆本文