报告称苹果Safari 15浏览器存漏洞，可能导致个人数据泄露

来源：环球时报新媒体

据今日俄罗斯电视台（RT）报道，据一家欺诈检测机构报告，最近披露的苹果Safari 15浏览器的一个漏洞，可以被恶意网站用来提取用户浏览历史记录，并获取其谷歌ID，以收集更多个人数据。

今日俄罗斯电视台报道配图

这家机构的全称是“浏览器指纹库欺诈检测服务FingerprintJS”，其识别出的问题存在于IndexedDB的应用程序编程接口(API)中，该接口用于在浏览器中存储大量数据。

通常情况下，这些数据收集接口遵循同源策略：只允许网站访问自身产生的数据，而不允许访问其他网站产生的数据。例如，如果用户在一个浏览器标签中打开电子邮件帐户，而在第二个标签中打开另一个网页时，新网页的代码将无法访问任何与电子邮件相关的数据。

然而，对于苹果Safari 15浏览器来说，情况并非如此。由于苹果应用了IndexedDB接口（API），每次网站与浏览器数据库交互时，都会为所有其他活动标签创建一个同名的新数据库。这意味着每个这样的站点，都可以访问同时打开的其他所有站点的数据库。

当用户与需要个人数据的网页（如视频网站YouTube或谷歌账户）交互时，任何与谷歌ID链接的页面都会创建具有谷歌用户ID的数据库，这些数据库会与用户打开的所有其他网站共享，因此可能会被不法分子利用，包括一旦他们知道用户的谷歌ID，就会获得更多的个人数据。

苹果电脑MacOS操作系统的用户可能只需使用Safari以外的浏览器就可以绕过这个漏洞，但iPhone和iPad用户几乎无能为力，因为苹果公司禁止所有iOS设备使用第三方浏览器引擎，这意味着所有浏览器都会受到影响，Safari 15上的私密浏览模式也会受到影响。

FingerprintJS甚至还制作了一个特殊的演示程序，展示了Safari是如何收集网站数据、浏览历史和个人数据的，从而显示出用户的网络头像。该机构还表示，已经在去年11月28日报告了这个问题，但到目前为止还没有发布修复该问题的更新，苹果也没有回应媒体的置评请求。