蘋果在最新的 iOS 15 與 macOS 12 上推出了新版的 Safari,版本號為 Safari 15,搭配了全新的介面、手勢以及標籤頁群組功能,但今日一個相當嚴重的 Safari 漏洞 Bug 被國外資安團隊揭露,這個 Bug 可以導致使用者瀏覽過的網站、甚至個資通通被看光光。
本篇內容
Safari 嚴重 Bug 將導致使用者瀏覽紀錄遭追蹤
這次被揭露的 Safari 漏洞 Bug 主要是發生在 IndexedDB API 中,這個 IndexedDB 是 Web 瀏覽器所提供的低階 JavaScript API,用來儲存大量非結構式、不限定格式的 NoSQL 資料。
根據相關的 API 文件指出,IndexedDB 儲存的資料可以在相同網域之間存取,也就類似你從 Gmail 跳到 Google Drive 可以不用重新登入,依然持續使用著同一個帳號,但如果是不同網域就無法讀取。
Safari 漏洞讓瀏覽料可以跨網站被追蹤
而我們也已經很習慣這樣的模式,視其為理所當然,也確實應該是這樣,否則當我們從 Google 轉到 Facebook,難道 Facebook 可以存取我們的 Google 帳號資訊嗎?當然不是,對吧。
但是這次出現在 Safari IndexedDB API 的 Bug 中,可以讓有心人士利用這個漏洞,在 Safari 瀏覽器內,存取你曾經造訪過並且同樣有使用這個 API 的網站。
網友製作的 Demo 網站足以展示Safari 的漏洞 Bug 嚴重性
下面這個 Demo 網站是由國外網友所製作,點擊下方的連結,然後點選「Start Demo」。
👉 Safari 跨網站追蹤 Bug 示意網站:請點此
按下「Start demo」後,在這邊你可能還只有看到「You can also test for Google User ID leaks」的字樣,我們先不管他,先往下滑。
下面有很多(但不是全部)實際有在運作的網站,因為同樣有使用 indexedDB 這個 API,所以可以拿來測試,這裡我們選擇「weather.com」這個網站,點一下網址並將他開啟。
這時你會看到 weather 這個網站在新的標籤頁中開啟,我們不要關閉,直接切換回剛才 Demo 網站標籤頁。
回到 Demo 的網頁後,往上滑,你就會看到這個 Demo 網站利用 Safari 的漏洞偵測到了我們在瀏覽「Weather.com」這個網站。
實際用影片展示會看得更清楚。
我們在下面的列表中點選「cnet.com」這個網站,在新標籤頁開啟「cnet.com」後,我們再回到 Demo 網頁去,上面的紀錄就出現「cnet.com」了。
👉 Safari 跨網站追蹤 Bug 示意網站:請點此
國外網友也製作了詳細的解釋影片,想了解更多的人可以參考看看。
連 Google 的帳號資訊也能被存取
甚至是如果你在瀏覽器中有登入 Google 帳號的話,有心人士也能夠利用這個 Safari 的漏洞取得你的 Google 帳號相關資料。
在 Demo 網頁中也揭露這個危險的狀況,只要你點擊剛才「You can also test for Google User ID leaks」後面的「Try it」。
點擊之後,就會看到自己的 Google 帳號大頭貼以及 Google unique User ID 被抓出來了。
使用「私密瀏覽」也無法避面 Safari 跨網站追蹤 Bug
研究人員甚至表示,即便使用者利用 Safari 的私密瀏覽開啟網頁,這個 IndexedDB API 漏洞依然可以追蹤的到你的網頁瀏覽紀錄。
如何避免個資遭 Safari 跨網站追蹤漏洞 Bug 洩漏?
目前看起來這個 Safari 的漏洞是利用瀏覽器端的 API 漏洞,來進行跨網站、跨網域的追蹤,所以如果你將開啟的標籤頁關閉後, Demo 網站上原本追蹤到的網頁就會立刻消失。
但是不表示將網頁關閉就沒事了,因為駭客可有可能會在你開啟網頁、抓到紀錄的當下,就將資料從前端寫進後端資料庫,所以就算你把網頁關掉了,資料可能還是已經被竊取走了。
改用其他瀏覽器
事實上不只 Safari 有使用 IndexedDB API,包含了 Chrome、FirFox、Edge….等多個瀏覽器都有使用,但目前只有 Safari 被爆出有這個嚴重的資安漏洞 Bug。
所以目前會比較建議大家,暫時先使用 Safari 以外的瀏覽器,或是不要在 Safari 瀏覽器上存取個資相關資料、帳號密碼,等待之後 Apple 推出更新將這個漏洞修補。
使用舊版 Safari 不會受到影響
此外,這次的漏洞似乎只有出現在 iOS 15、iPadOS 15、macOS 12 的新版 Safari 15 上,如果你使用的是 iOS 14、iPadOS 14、macOS 11 上或更舊版本的 Safari,就不會受到影響。
延伸閱讀》
- 超危險!NoReboot 惡意程式偷偷啟動 iPhone 的相機錄影,即便關機也無效
- 不只 AirTag,連「尋找」App 也遭到漏洞攻擊
- 你的個資保鑣,趨勢科技 PC-cillin 防毒、防詐、防釣魚,網購付款也安心
- 收到來自中國 Apple 的個人信息保護法郵件怎麼辦?這裡告訴你
如果想知道更多關於 Apple 的消息、教學、小技巧或是科技新知,歡迎大家點擊以下任一 LOGO,追蹤我們的 Facebook 粉絲團、加入官方 Line 帳號、訂閱 IG 以及 Telegram。