▲ 據瀏覽器指紋識別服務商《FingerprintJS》的一篇博文指出,Apple在Safari 15中實現 IndexedDB API 的方式存在問題。根據研究人員的說法,該漏洞可以允許任何網站追蹤瀏覽器的互聯網活動,並可能暴露用戶的身份。(法新社)
蘋果(Apple)近年持續強化旗下產品及系統的私隱及安全保護,包括在Safari瀏覽器推出防止跨網站追蹤的措施和Safari瀏覽器私隱報告等功能。不過,Safari 15最近被揭有嚴重網絡安全漏洞 (bug),使黑客可輕易取得用戶的個人資訊、帳號和瀏覽紀錄。
據瀏覽器指紋識別服務商《FingerprintJS》的一篇博文指出,Apple在Safari 15中實現 IndexedDB API 的方式存在問題。根據研究人員的說法,該漏洞可以允許任何網站追蹤瀏覽器的互聯網活動,並可能暴露用戶的身份。
【fb新功能】Facebook私隱中心將改版 新介面助用戶管理帳號權限
使網站可了解用戶訪問哪些其他網站
IndexedDB是一個瀏覽器API,主要的網絡瀏覽器會用作儲存結構化數據及數據庫等。通常情況下,使用「同源政策」(same-origin policy)將限制哪個網站可以存取哪些數據,通常一個網站只能訪問它產生的數據,而不能存取其他網站的數據。
但在MacOS、iOS和iPadOS的Safari 15中,就發現IndexedDB違反了「同源政策」。研究人員聲稱,每當一個網站與其數據庫交互時,「在同一瀏覽器中的所有其他活動框架、標籤和窗口,都會創建一個使用相同名稱並且新的空白數據庫。」
【網絡監管】涉違反歐盟私隱法 法國將罰Google、Facebook 2.38億美元
由於一些網站使用包括特定於用戶的唯一標識符的數據庫名稱,或會令問題變得更加嚴重。對於可以共享相同身份驗證憑據的網站(例如Gmail和YouTube),數據庫名稱可以包含相同身份認證的Google用戶ID。
Google用戶ID或被網站完全識別
當該Google用戶ID被用作Google內部的標識符,並與一個賬戶相關聯。這樣便可能令使用這個標識符從Google的API中提取用戶個人訊息。
據悉,FingerPrint JS早在去年11月底,將Safari 15的問題報告予Apple,惟研究人員指出,有關問題須待Apple更新瀏覽器或作業系統後,才可有效解決。至於針對此問題進行的修正或更新,仍有待Apple官方公布。
《創業ideas》每集請來香港企業品牌,分享疫下營商Tips。即看最新一集:
責任編輯:陳卓賢
【網絡私隱】Safari 15現Bug!洩露瀏覽數據或暴露用戶身份- 香港經濟日報- 即時新聞頻道- 科技 - 香港經濟日報 - 即時新聞
Read More
Tidak ada komentar:
Posting Komentar