反网站诈骗工具公司FingerprintJS日前在官网撰文,公开Safari浏览器一项严重漏洞,用户的近期浏览记录和Google账号资料有可能外泄。涉事的是macOS和iOS版的Safari,程序的IndexedDB漏洞让网站可以取得任何用户浏览各的域名数据库。
这项漏洞还会揭示Google用户登录的账号资料,恶意网站只要利用漏洞,就能取得Google用户的登录账号,再借着API请求的方式取得用户的其他个人资料。从FingerprintJS提供的示范网站(https://safarileaks.com/)可见,这项漏洞可甚至少见到Safari用户浏览过的30个域名,也有机会被不法份子进一步用于更大范围。
任何有用到IndexedDB JavaScript API的网站,都有可能受到上述Safari漏洞影响,用户的数据会因此被截取。FingerprintJS表示现在于iPhone、iPad和Mac的Safari浏览器都受影响,他们与年11月28日向Apple汇报,但至今没有解决。
来源:9to5mac