苹果“修复”Safari 15 泄露浏览历史记录的错误

据报道,Apple 开发人员正在修复 Safari 15 中的一个严重错误,该错误于上周末报告。

根据 GitHub 条目,修复了所描述错误的 Safari 更新已经发布已准备就绪,但尚未向用户推出。

Safari 修复可能会成为 iPadOS 15、iOS 15 和 macOS Monterey 即将更新的一部分,MacRumors 报道。 Safari 技术预览版的测试版可能会更早更新。

iOS 14 和 Big Sur 上的早期版本 Safari 并未受到该错误的影响,因此这些浏览器的用户无需担心该问题。

原始故事

以下是我们 1 月 17 日报道的原始故事:

Safari 15 中发现了一个错误,该错误可能会泄露 Mac、iPhone 和 iPad 用户的浏览器活动,并使与其 Google 帐户相关的个人信息被其他人看到。 FingerprintJS 发现了该漏洞,并报告说,除其他外,因此,未经授权的人员可能会看到访问过的网页。

问题在于 Mac 和 iOS 版 Safari 实现 Indexed DB(一种在浏览器中存储数据的 API)的方式。

据报道,苹果公司早在 11 月底就意识到了这个问题,但尚未采取行动。尽管事实上它代表着潜在的严重隐私泄露。

泄漏

当您访问在新选项卡中使用本地数据库的网站时,会在所有其他选项卡和窗口(私有选项卡和窗口除外)中创建一个具有相同名称的新空数据库。

大多数使用这些数据库的站点都会给数据库起一个名称,以明确它是哪个站点。结果是,所有其他打开的网站理论上都可以看到您刚刚打开的网站。当您关闭选项卡时,这些数据库将被删除,但那时已经太晚了。

“数据库名称在不同来源之间泄露的事实是明显的隐私侵犯,”FingerprintJS 解释道。 “它可以让任意网站了解用户在不同选项卡或窗口中访问的网站。”

Google 存在更严重的问题

不幸的是,事情并没有就此结束。有些网站还使用可以链接到特定用户的唯一名称。谷歌是这里最大也是最糟糕的例子。这是因为 Google 使用内部用户 ID 作为其数据库名称,这意味着被编程为利用 Safari 漏洞的网站将找到您 Google 帐户的内部 ID 代码。

似乎这还不够,还会为您登录的每个 Google 帐户创建一个数据库。例如,如果您登录个人帐户和工作帐户,间谍网站就会知道这两个帐户,并可以隐藏它们之间的连接。

我们的建议

在 Apple 修复该错误之前,我们建议不要在 Safari 中登录 Google。该漏洞很容易被利用,并且肯定会被无良的开发者用来创建用户唯一 Google ID 的数据库。

事实上,最好建议关心隐私的用户只对他们访问的每个页面使用新的私有窗口,或者在此之前使用也认真对待隐私的替代浏览器,例如 Firefox 或 勇敢

我们汇总了最佳 Mac 浏览器最佳 iPhone 浏览器在单独的文章中。

本文最初发表于 Macworld 瑞典。大卫·普莱斯和斯蒂芬·维森德的补充报道。