Apple在iOS 15、iPadOS與macOS 15更新時,也更新了Safari(Safari 15 版)功能,但日前國外資安團隊Fingerprintjs揭露新的Safari藏有漏洞,恐導致使用者的歷史網站瀏覽紀錄被追蹤,甚至個資外洩!
資安團隊表示Safari的Bug漏洞主要是來自IndexedDB API的錯誤。IndexedDB是Web瀏覽器所提供的低階JavaScript API,可用來儲存大量的結構化資料,並透過索引功能而快速搜尋資料。
根據他們的說法,Safari 漏洞能讓使用 IndexedDB 的網站,可以追蹤存取使用者瀏覽的網站,甚至還能存取個人個資;舉例來說,當從 YouTube 跳到 Gmail,由於都是使用同一組 Google 帳號,不需要重新登入,因此這漏洞就能存取 Google 帳號的個人照片,以及 Google unique User ID。
更麻煩的是,這漏洞影響的不只是 Safari 瀏覽器的一般模式,就連私密瀏覽模式也會導致個資外洩。尤其是如果遇到有心人士善用這個 Safari 漏洞,就能存取使用者曾瀏覽過並具有相同 API 的網站,並進行跨網站、跨網域的追蹤。
我該怎麼保護自己?
對於使用者而言,最重要的應該就是該如何保護自己的個資?
Fingerprintjs 表示使用者想保護自己的方式有一種是設定阻止所有 JavaScript,唯有允許同意開啟部分信任的網站,這方法雖然可以阻擋,但造成瀏覽網頁時很不方便。
因此建議使用者暫時轉而使用 Chrome、FirFox、Edge….等瀏覽器,儘管這些網站也都有使用 IndexedDB API,但目前有問題的只有 Safari 瀏覽器,等 Apple 蘋果公司修復 Bug 漏洞之後,再回來使用 Safari 也比較安全。
《原文刊登於合作媒體三嘻行動哇,聯合新聞網獲授權轉載。》
