為什麼這篇iphone safari信任網站鄉民發文收入到精華區:因為在iphone safari信任網站這個討論話題中,有許多相關的文章在討論,這篇最有參考價值!作者ivon852 (內容農場殺手)看板MobileComm標題Re: [新聞] 密碼全盜光!快關i...
2021年11/28已發現這個Webkit bug,FingerprintJS回報給蘋果。2022年1/17蘋果標記為已
解決(resolved),可是目前他們測試iOS和MacOS的Safari還是會出現此問題。
此外,台灣媒體報導都說在更新釋出前只能關閉JS,但忽略原文還有一句「僅在信任的網站
開啟JS」,沒JS是要怎麼活啦。
FingerprintJS網站的原文做了demo演示這個bug,如果不怕死可以用iPhone Safari去他們
的網站看有多少個人資訊會洩漏:
https://youtu.be/Z7dPeGpCl8s
至於會不會洩漏密碼? 先看原理
FingerprintJS原文提及
"Safari 15’s implementation of the IndexedDB API that lets any website track yo
ur internet activity and even reveal your identity"
「Safari 15的IndexedDB API實作可能會讓網站得以追蹤你的網路活動甚至是真實身分。」
再引用網易科技的報導解釋原理:
「IndexedDB遵守同源策略,該策略限制一個源與其他源收集的數據交互。 本質上,只有生
成數據的網站才能存取。舉例來說,如果您在某個頁籤開啟電子郵件帳戶,然後在另一個頁
籤中開啟惡意網頁,同源策略會阻止惡意頁面查看和干預使用者的電子郵件。」
「蘋果在Safari 15中應用IndexedDB API違反了同源策略。 當網站與Safari中的資料庫交
互時,在同一瀏覽器會話(session)中的所有其他活動框架、頁籤和視窗都會創建一個同名
的新(空)資料庫。 」
簡單來說,Safari存取IndexedDB的行為不合規範,所有視窗共用同一個資料庫,導致A網站
能夠看到另一個B網站所建立的資料庫名稱。
這可能會導致資料外洩,例如因Google帳戶API所產生的識別ID,被追蹤甚至還原出用戶身
分。更糟糕的是網頁可在背景蒐集使用者資料而不被察覺。
此外,有些熱門網站設計不良,存取IndexedDB不需使用者輸入密碼驗證。
又,由於iOS瀏覽器app全使用它家的引擎之故,每款瀏覽器都存在洩漏風險,不像macOS起
碼還可以換其他瀏覽器躲避。
但這不代表Safari密碼會被偷光,起碼FingerprintJS原文沒有推論到這裡。只能說個人資
料有風險,而且不易察覺。
且對蘋果來說這麼重視隱私的公司,這種bug不修說不過去。
參考資料
Martin Bajanik. 2022/1/15. Exploiting IndexedDB API information leaks in Safari
15. FingerprintJS.
https://reurl.cc/GoxGgA
网易科技报道。2022/1/18。苹果Safari浏览器被曝漏洞 或泄露浏览活动和谷歌账户信息。
网易。https://reurl.cc/QjLVk2
--
https://i.imgur.com/qBnCgUO.jpg
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 111.255.233.76 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/MobileComm/M.1642510388.A.132.html
※ 編輯: ivon852 (111.255.233.76 臺灣), 01/18/2022 20:54:10
推 oppoR20: 推 詳細技術內容 01/18 21:06
→ oppoR20: Resloved是目前以解決 等下一版更新推送這樣嗎 01/18 21:07
→ dreamgirl: 這是後門啦,不是漏洞 01/18 21:09
推 romber: 本篇正解,這個洞主要是隱私問題,有心人可以知道你看過哪 01/18 21:48
→ romber: 些站,有機會知道帳號是什麼等,至於密碼應該是台灣媒體理 01/18 21:48
→ romber: 解錯誤自己亂加的…國外沒本篇有寫到 01/18 21:48
→ romber: 本篇→半篇 01/18 21:49
推 oppoR20: 大概台灣媒體看到Password一字就開始加油添醋 01/18 21:53
→ oppoR20: 不意外 台灣媒體是生產業 01/18 21:54
推 leveger0903: 說到這個 公司開發的app刪除iOS的cookie在api請求時 01/18 22:43
→ leveger0903: 連同webview可一併刪除 但是安卓就是無法這樣 我猜 01/18 22:43
→ leveger0903: 可能是同一個問題 01/18 22:43
→ leveger0903: 看來我們公司iOS開發得辛苦了 01/18 22:44
推 grace0523: IndexedDB類似資料快取,哪個開發的人會密碼暫存在這 01/18 23:06
→ grace0523: 啊,對網站運作沒幫助啊 01/18 23:06
推 cowcowleft: 這篇讚讚 01/18 23:37
推 ggirls: 僅瀏覽信任的網站 01/19 00:11
→ kaltu: 跟密碼同樣機密等級但比較安全的各種token一樣會被拿取 01/19 04:13
推 romber: no,這個洞leak的只是db name,沒人會用token當db name 01/19 05:42
噓 armytomas: 蘋果不是最安全,無後門,不回傳資料嗎?都是屁話,只 01/19 07:28
→ armytomas: 是以前人家懶的去搶。 01/19 07:28