你有没有想过,如果有一天,你的浏览器记录被公之于众,会是什么情况?
是果子的话,可能连夜买票逃离地球。
近日,有消息报道 Safari 浏览器存在一个严重的 BUG 。
该漏洞可能会泄露用户的浏览活动以及用户谷歌账户的一些个人信息链接。
具体是在 Safari 中名为 IndexedDB 的 JavaScript API 的 Webkit 实现中发现该漏洞的。
简单来说,IndexedDB(索引数据库)会在用户浏览网站时记录下网站的信息,比如名称,用户名信息等,然后生成对应数据库。
由于被索引的数据库与特定源相关联,所以只有源网站才能访问这些数据。
然而,根据这次公布的BUG,导致了不同网站也可以访问其它网站生成的 IndexedDB 数据库,所以能够读取到用户的浏览记录和个人信息。
* 图源网 仅供示例
可能有人会问,这个漏洞会不会读取到浏览器的 Cookies ?
Cookies 能够详细记录访问过的网站、何时访问、以及停留多久时间等。如果这个被读取了,那危害性质要高好几个层级。
因为有了 Cookies 数据后,某些网站就会恶意的根据喜好推送相关广告或进行信息贩卖。
好消息是,目前来看还没有这方面风险。
* 图源网 仅供示例
当然,对于任何人来说,隐私有泄露风险终归是不爽的。
并且 Safari 浏览器这次的 BUG 不单单只是手机,由于苹果的通用标准,还会影响到 iOS 15、macOS Monterey 和 iPadOS 15 所有版本上的 Safari 15。
不过苹果电脑的处境要好一些,它可以使用 Safari 以外的浏览器进行规避。
但是手机和平板就没这么幸运了...
因为苹果要求所有浏览器在 iPhone 和 iPad 上都得使用 WebKit 网站渲染引擎,即便你换上其它三方浏览器,比如 Chrome 或 Microsoft Edge,也有可能遭此漏洞风险。
并且,即便使用 “隐私模式”浏览网页也没有用。
目前只能等待苹果和 WebKit 开发团队在下一版更新中修复了。
不过真的是太慢了...
根据发现该漏洞的机构 FingerprintJS 表示,他们在 11 月 28 日就向苹果 WebKit Bug Tracker 报告了泄漏,但苹果并未对此做出回应。
* 图源 FingerprintJS
能不能快一点!?虽然目前还没有关于大的影响事件爆料出。
但果子真的只是担心大家的隐私安全问题。
果子从来没有浏览什么奇怪的网页,绝对没有!
其实,Safari并不止一次出现漏洞问题。
在 2019 年 8 月的时候,谷歌就向苹果披露了许多 Safari 浏览器的漏洞,尽管苹果工程师在 12 月的一篇文章中表示修复了问题,并感谢谷歌提供的帮助。
但谷歌 Chrome 浏览器工程总监 Justin Schuh 则表示:尽管苹果声称该漏洞已经修复,但实际情况并非如此。苹果这些隐私漏洞比本应阻止的跟踪类型要严重地多。
而离我们比较近的,就是关于著名越狱团队盘古通过 Safari 漏洞成功实现网页远程越狱的事件,虽然这个漏洞后来在 iOS 15.2 中修复了。但也足够说明 Safari 浏览器并没有大家想象的那么安全。
其实不止是苹果,不少产品也因为浏览器漏洞而被“越狱”成功。
比如 3DS 就是从浏览器漏洞开始;PSV 是浏览器漏洞;PS4 也是浏览器漏洞。而且这些机器应该都是采用的同一种内核,这种开源内核即是 Webkit 。
所以后来 PS5 把浏览器砍了 ~
回到正题,尽管苹果大力宣传安全隐私保护,推出了 App 权限追踪功能,但世界没有不透风的墙,即便强如苹果,也有翻车的时候。
世界上没有任何一家公司能够信誓旦旦的保证他们的系统万无一失,漏洞永远在,需要一直不断完善的进行修复。
不止是苹果,希望这些大公司,能做到表率作用,把用户隐私实实在在放在心底,问题肯定会有,但希望能够第一时间积极的去解决,后续更好的进行维护、自检、及修复工程。
作为用户,用起来也更加放心。