Re: [新闻] 密码全盗光!快关iPhone“这设定”保命

楼主: ivon852 (ASUS)   2022-01-18 20:53:06
2021年11/28已发现这个Webkit bug,FingerprintJS回报给苹果。2022年1/17苹果标记为已
解决(resolved),可是目前他们测试iOS和MacOS的Safari还是会出现此问题。
此外,台湾媒体报导都说在更新释出前只能关闭JS,但忽略原文还有一句“仅在信任的网站
开启JS”,没JS是要怎么活啦。
FingerprintJS网站的原文做了demo演示这个bug,如果不怕死可以用iPhone Safari去他们
的网站看有多少个人资讯会泄漏:
https://youtu.be/Z7dPeGpCl8s
至于会不会泄漏密码? 先看原理
FingerprintJS原文提及
"Safari 15’s implementation of the IndexedDB API that lets any website track yo
ur internet activity and even reveal your identity"
“Safari 15的IndexedDB API实作可能会让网站得以追踪你的网络活动甚至是真实身分。”
再引用网易科技的报导解释原理:
“IndexedDB遵守同源策略,该策略限制一个源与其他源收集的数据交互。 本质上,只有生
成数据的网站才能存取。举例来说,如果您在某个页签开启电子邮件帐户,然后在另一个页
签中开启恶意网页,同源策略会阻止恶意页面查看和干预使用者的电子邮件。”
“苹果在Safari 15中应用IndexedDB API违反了同源策略。 当网站与Safari中的数据库交
互时,在同一浏览器会话(session)中的所有其他活动框架、页签和视窗都会创建一个同名
的新(空)数据库。 ”
简单来说,Safari存取IndexedDB的行为不合规范,所有视窗共用同一个数据库,导致A网站
能够看到另一个B网站所建立的数据库名称。
这可能会导致资料外泄,例如因Google帐户API所产生的识别ID,被追踪甚至还原出用户身
分。更糟糕的是网页可在背景蒐集使用者资料而不被察觉。
此外,有些热门网站设计不良,存取IndexedDB不需使用者输入密码验证。
又,由于iOS浏览器app全使用它家的引擎之故,每款浏览器都存在泄漏风险,不像macOS起
码还可以换其他浏览器躲避。
但这不代表Safari密码会被偷光,起码FingerprintJS原文没有推论到这里。只能说个人资
料有风险,而且不易察觉。
且对苹果来说这么重视隐私的公司,这种bug不修说不过去。
参考资料
Martin Bajanik. 2022/1/15. Exploiting IndexedDB API information leaks in Safari
15. FingerprintJS.
https://reurl.cc/GoxGgA
网易科技报道。2022/1/18。苹果Safari浏览器被曝漏洞 或泄露浏览活动和谷歌账户信息。
网易。https://reurl.cc/QjLVk2
作者: oppoR20 (R20)   2022-01-18 21:06:00
推 详细技术内容Resloved是目前以解决 等下一版更新推送这样吗
作者: dreamgirl (嘉嘉)   2022-01-18 21:09:00
这是后门啦,不是漏洞
作者: romber (tako)   2022-01-18 21:48:00
本篇正解,这个洞主要是隐私问题,有心人可以知道你看过哪些站,有机会知道帐号是什么等,至于密码应该是台湾媒体理解错误自己乱加的…国外没本篇有写到本篇→半篇
作者: oppoR20 (R20)   2022-01-18 21:53:00
大概台湾媒体看到Password一字就开始加油添醋不意外 台湾媒体是生产业
作者: leveger0903 (脆笛酥)   2022-01-18 22:43:00
说到这个 公司开发的app删除iOS的cookie在api请求时连同webview可一并删除 但是安卓就是无法这样 我猜可能是同一个问题看来我们公司iOS开发得辛苦了
作者: grace0523 (小小)   2022-01-18 23:06:00
IndexedDB类似资料快取,哪个开发的人会密码暂存在这啊,对网站运作没帮助啊
作者: cowcowleft (cowcow)   2022-01-18 23:37:00
这篇赞赞
作者: ggirls (哥)   2022-01-19 00:11:00
仅浏览信任的网站
作者: kaltu (ka)   2022-01-19 04:13:00
跟密码同样机密等级但比较安全的各种token一样会被拿取
作者: romber (tako)   2022-01-19 05:42:00
no,这个洞leak的只是db name,没人会用token当db name
作者: armytomas (闇天使)   2022-01-19 07:28:00
苹果不是最安全,无后门,不回传资料吗?都是屁话,只是以前人家懒的去抢。

Links booklink

Contact Us: admin [ a t ] ucptt.com