上周,网络安全研究界披露了一个关键的安全漏洞:苹果WebKit浏览器引擎中的IndexedDB JavaScript API存在一处设计缺陷,可能导致用户近期Safari浏览记录及个人身份数据意外泄露。
根据GitHub上公开的WebKit代码提交记录,苹果官方已针对此漏洞制定了修复方案。不过,该安全补丁需等待macOS Monterey、iOS 15及iPadOS 15系统发布新版Safari浏览器后,才会向用户正式推送。当媒体询问具体更新时间表时,苹果公司目前未予置评。
这一漏洞的具体原理是什么?简而言之,它使得任何利用IndexedDB进行客户端数据存储的网站,能够窥探同一浏览器会话期间用户访问其他网站时生成的IndexedDB数据库名称。关键在于,这些数据库名称通常具有网站特定性,有时甚至包含用户唯一标识信息。因此,恶意网站可通过此漏洞跨标签页或窗口追踪用户访问过的其他站点,进而可能分析出用户的浏览行为模式,甚至关联到个人身份线索。
安全厂商FingerprintJS为此漏洞提供了在线验证演示页面。受影响的浏览器涵盖所有采用较新版本苹果WebKit引擎的产品,包括macOS平台的Safari 15,以及所有运行iOS 15与iPadOS 15系统的Safari浏览器。需要特别注意的是,由于苹果的强制规定,iPhone和iPad上所有第三方浏览器(例如Chrome、Edge)同样基于WebKit内核,因此也无法避免此漏洞影响。
FingerprintJS同时确认,该漏洞不影响macOS上的Safari 14版本,也不影响任何运行iOS 14与iPadOS 14系统的浏览器环境。
