蘋(píng)果Safari瀏覽器Bug：網(wǎng)站實(shí)時(shí)跟蹤用戶瀏覽記錄

據(jù)MacRumors報(bào)道，根據(jù)瀏覽器指紋識(shí)別服務(wù)提供商 FingerprintJS 周五分享的一篇博客文章，WebKit 的一個(gè)名為 IndexedDB 的 JavaScript API 中的一個(gè) Bug 可以泄露用戶最近的瀏覽歷史甚至身份。

該 Bug 允許任何使用 IndexedDB 的網(wǎng)站在用戶瀏覽會(huì)話期間訪問(wèn)其他網(wǎng)站生成的 IndexedDB 數(shù)據(jù)庫(kù)的名稱(chēng)。這個(gè)漏洞可以讓一個(gè)網(wǎng)站跟蹤用戶訪問(wèn)的其他網(wǎng)站，因?yàn)槊總€(gè)網(wǎng)站的數(shù)據(jù)庫(kù)名稱(chēng)通常是唯一的。正確的行為應(yīng)該是，網(wǎng)站只能訪問(wèn)自己的 IndexedDB 數(shù)據(jù)庫(kù)。

根據(jù) FingerprintJS 的描述，YouTube 創(chuàng)建的數(shù)據(jù)庫(kù)包含經(jīng)過(guò)認(rèn)證的谷歌用戶 ID，這個(gè)標(biāo)識(shí)符可以與谷歌 API 一起獲取頭像等用戶的個(gè)人信息。

據(jù)介紹，這一 Bug 會(huì)影響使用蘋(píng)果開(kāi)源瀏覽器引擎 WebKit 的新版本瀏覽器，包括 Mac 版的 Safari 15以及 iOS 15和 iPadOS 15所有版本的 Safari 瀏覽器。該漏洞也會(huì)影響第三方瀏覽器，如 iOS 15和 iPadOS 15上的 Chrome，因?yàn)樘O(píng)果要求所有瀏覽器在 iPhone 和 iPad 上使用 WebKit。FingerprintJS 演示顯示，Mac 版的 Safari 14等舊版瀏覽器不受影響。