Re: [新聞] 密碼全盜光！快關iPhone「這設定」保命

看板MobileComm (行動通訊)作者ivon852 (內容農場殺手)時間3年前 (2022/01/18 20:53)推噓7(8推 1噓 12→)

留言21則, 9人參與討論串2/2 (看更多)

2021年11/28已發現這個Webkit bug，FingerprintJS回報給蘋果。2022年1/17蘋果標記為已解決(resolved)，可是目前他們測試iOS和MacOS的Safari還是會出現此問題。此外，台灣媒體報導都說在更新釋出前只能關閉JS，但忽略原文還有一句「僅在信任的網站開啟JS」，沒JS是要怎麼活啦。 FingerprintJS網站的原文做了demo演示這個bug，如果不怕死可以用iPhone Safari去他們的網站看有多少個人資訊會洩漏: https://youtu.be/Z7dPeGpCl8s

至於會不會洩漏密碼? 先看原理 FingerprintJS原文提及 "Safari 15’s implementation of the IndexedDB API that lets any website track yo ur internet activity and even reveal your identity" 「Safari 15的IndexedDB API實作可能會讓網站得以追蹤你的網路活動甚至是真實身分。」再引用網易科技的報導解釋原理: 「IndexedDB遵守同源策略，該策略限制一個源與其他源收集的數據交互。本質上，只有生成數據的網站才能存取。舉例來說，如果您在某個頁籤開啟電子郵件帳戶，然後在另一個頁籤中開啟惡意網頁，同源策略會阻止惡意頁面查看和干預使用者的電子郵件。」「蘋果在Safari 15中應用IndexedDB API違反了同源策略。當網站與Safari中的資料庫交互時，在同一瀏覽器會話(session)中的所有其他活動框架、頁籤和視窗都會創建一個同名的新（空）資料庫。」簡單來說，Safari存取IndexedDB的行為不合規範，所有視窗共用同一個資料庫，導致A網站能夠看到另一個B網站所建立的資料庫名稱。這可能會導致資料外洩，例如因Google帳戶API所產生的識別ID，被追蹤甚至還原出用戶身分。更糟糕的是網頁可在背景蒐集使用者資料而不被察覺。此外，有些熱門網站設計不良，存取IndexedDB不需使用者輸入密碼驗證。又，由於iOS瀏覽器app全使用它家的引擎之故，每款瀏覽器都存在洩漏風險，不像macOS起碼還可以換其他瀏覽器躲避。但這不代表Safari密碼會被偷光，起碼FingerprintJS原文沒有推論到這裡。只能說個人資料有風險，而且不易察覺。且對蘋果來說這麼重視隱私的公司，這種bug不修說不過去。參考資料 Martin Bajanik. 2022/1/15. Exploiting IndexedDB API information leaks in Safari 15. FingerprintJS. https://reurl.cc/GoxGgA 网易科技报道。2022/1/18。苹果Safari浏览器被曝漏洞或泄露浏览活动和谷歌账户信息。网易。https://reurl.cc/QjLVk2 -- https://i.imgur.com/qBnCgUO.jpg

https://i.imgur.com/klpjZcQ.jpg

https://i.imgur.com/yLTmoHs.jpg

https://i.imgur.com/WepO17T.jpg

-- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 111.255.233.76 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/MobileComm/M.1642510388.A.132.html ※ 編輯: ivon852 (111.255.233.76 臺灣), 01/18/2022 20:54:10

推

oppoR20

01/18 21:06, 3年前 , 1^F

01/18 21:06, 1^F

→

oppoR20

01/18 21:07, 3年前 , 2^F

01/18 21:07, 2^F

→

dreamgirl

01/18 21:09, 3年前 , 3^F

01/18 21:09, 3^F