蘋果Safari瀏覽器被爆泄露谷歌賬戶信息

防欺詐服務提供商FingerprintJS近日調查發現，蘋果瀏覽器Safari 15中的一個漏洞可能會泄露用戶的瀏覽活動，還可能泄露谷歌賬戶上的某些個人信息。這個漏洞源于蘋果推出的IndexedDB，它是可在瀏覽器上存儲數據的應用程序編程接口（API）。

FingerprintJS稱，IndexedDB遵守同源策略，該策略限制一個源與其他源收集的數據交互。本質上，只有生成數據的網站才能訪問它。

舉例來說，如果你在某個選項卡中打開電子郵件賬戶，然后在另一個選項卡中打開惡意網頁，同源策略會阻止惡意頁面查看和干預用戶的電子郵件。 FingerprintJS發現，蘋果在Safari 15中應用IndexedDB API實際上違反了同源策略。當網站與Safari中的數據庫交互時，在同一瀏覽器會話中的所有其他活動框架、選項卡和窗口中都會創建一個同名的新（空）數據庫。

這意味著，其他網站可以看到用戶在不同網站上創建的其他數據庫名稱，其中可能包含特定于其身份的詳細信息。當用戶瀏覽需要谷歌賬戶的網站時，如YouTube、Google Calendar和Google Keep等，都會生成名稱中包含用戶唯一谷歌賬戶ID的數據庫。這個ID允許谷歌訪問用戶的公開信息，比如其個人資料，而Safari漏洞可能會將這些信息暴露給其他網站。