Re: [新聞] 密碼全盜光！快關iPhone「這設定」保命

2021年11/28已發現這個Webkit bug，FingerprintJS回報給蘋果。2022年1/17蘋果標記為已解決(resolved)，可是目前他們測試iOS和MacOS的Safari還是會出現此問題。
此外，台灣媒體報導都說在更新釋出前只能關閉JS，但忽略原文還有一句「僅在信任的網站開啟JS」，沒JS是要怎麼活啦。

FingerprintJS網站的原文做了demo演示這個bug，如果不怕死可以用iPhone Safari去他們的網站看有多少個人資訊會洩漏:
https://youtu.be/Z7dPeGpCl8s

至於會不會洩漏密碼? 先看原理

FingerprintJS原文提及
"Safari 15’s implementation of the IndexedDB API that lets any website track your internet activity and even reveal your identity"
「Safari 15的IndexedDB API實作可能會讓網站得以追蹤你的網路活動甚至是真實身分。」

再引用網易科技的報導解釋原理:

「IndexedDB遵守同源策略，該策略限制一個源與其他源收集的數據交互。 本質上，只有生成數據的網站才能存取。舉例來說，如果您在某個頁籤開啟電子郵件帳戶，然後在另一個頁籤中開啟惡意網頁，同源策略會阻止惡意頁面查看和干預使用者的電子郵件。」
「蘋果在Safari 15中應用IndexedDB API違反了同源策略。 當網站與Safari中的資料庫交互時，在同一瀏覽器會話(session)中的所有其他活動框架、頁籤和視窗都會創建一個同名的新（空）資料庫。 」

簡單來說，Safari存取IndexedDB的行為不合規範，所有視窗共用同一個資料庫，導致A網站能夠看到另一個B網站所建立的資料庫名稱。
這可能會導致資料外洩，例如因Google帳戶API所產生的識別ID，被追蹤甚至還原出用戶身分。更糟糕的是網頁可在背景蒐集使用者資料而不被察覺。

此外，有些熱門網站設計不良，存取IndexedDB不需使用者輸入密碼驗證。

又，由於iOS瀏覽器app全使用它家的引擎之故，每款瀏覽器都存在洩漏風險，不像macOS起碼還可以換其他瀏覽器躲避。

但這不代表Safari密碼會被偷光，起碼FingerprintJS原文沒有推論到這裡。只能說個人資料有風險，而且不易察覺。
且對蘋果來說這麼重視隱私的公司，這種bug不修說不過去。

參考資料
Martin Bajanik. 2022/1/15. Exploiting IndexedDB API information leaks in Safari15. FingerprintJS.
https://reurl.cc/GoxGgA

网易科技报道。2022/1/18。苹果Safari浏览器被曝漏洞 或泄露浏览活动和谷歌账户信息。网易。https://reurl.cc/QjLVk2

--
https://i.imgur.com/qBnCgUO.jpg