月18日消息:據(jù)MacRumors報(bào)道，瀏覽器指紋識別服務(wù)FingerprintJS周五發(fā)布的一篇博文稱，WebKit對一個(gè)名為IndexedDB的JavaScript API的實(shí)現(xiàn)存在一個(gè)錯(cuò)誤，可以顯示用戶最近的瀏覽歷史甚至是身份。

簡而言之，該漏洞允許任何使用IndexedDB的網(wǎng)站訪問其他網(wǎng)站在用戶瀏覽會話期間生成的IndexedDB數(shù)據(jù)庫的名稱。這個(gè)錯(cuò)誤可能允許一個(gè)網(wǎng)站跟蹤用戶在不同標(biāo)簽或窗口中訪問的其他網(wǎng)站，因?yàn)槊總€(gè)網(wǎng)站的數(shù)據(jù)庫名稱通常是唯一的。正確的行為應(yīng)該是，網(wǎng)站只能訪問他們自己的 IndexedDB 數(shù)據(jù)庫。

在某些情況下，網(wǎng)站在 IndexedDB 數(shù)據(jù)庫名稱中使用獨(dú)特的用戶特定標(biāo)識符。例如，YouTube創(chuàng)建的數(shù)據(jù)庫在名稱中包括用戶經(jīng)過認(rèn)證的谷歌用戶ID，根據(jù)FingerprintJS，這個(gè)標(biāo)識符可用于谷歌API，以獲取有關(guān)用戶的個(gè)人信息，如個(gè)人資料圖片。這些個(gè)人信息可以幫助惡意行為者確定用戶的身份。

據(jù)介紹，該漏洞影響了使用蘋果開源瀏覽器引擎WebKit的較新版本的瀏覽器，包括Mac版Safari15和所有版本的iOS15和iPadOS15的Safari。這個(gè)錯(cuò)誤還影響到iOS15和iPadOS15上的Chrome等第三方瀏覽器，因?yàn)樘O果要求所有瀏覽器在iPhone和iPad上使用WebKit。FingerprintJS有一個(gè)關(guān)于該bug的視頻演示表明，Mac版Safari14等舊版瀏覽器不受影響。