新的未修补的Apple Safari浏览器漏洞允许跨站点用户跟踪

Apple Safari 15在IndexedDB API的实现中引入了一个软件漏洞，恶意网站可能会滥用该漏洞，在web浏览器中跟踪用户的在线活动，更糟糕的是，甚至泄露用户身份。

The vulnerability, dubbed IndexedDB Leaks, was disclosed by fraud protection software company FingerprintJS, which reported the issue to the iPhone maker on November 28, 2021.

IndexedDB是web浏览器提供的一种低级JavaScript应用程序编程接口（API），用于管理文件和Blob等结构化数据对象的NoSQL数据库。

Mozilla在其API文档中指出，“与大多数web存储解决方案一样，IndexedDB遵循相同的源代码策略。”。“因此，虽然可以访问域内存储的数据，但不能跨不同的域访问数据。”

同源是一种基本的安全机制，可确保从不同来源检索到的资源—；i、 例如，URL的方案（协议）、主机（域）和端口号的组合—；彼此孤立。这实际上意味着“http[：]//example[.]com/“和”https[：]//示例[.]com/“的来源不同，因为它们使用不同的方案。

通过限制一个源加载的脚本如何与另一个源加载的资源交互，目的是通过防止恶意网站运行任意JavaScript代码来读取另一个域（例如电子邮件服务）的数据，从而隔离潜在的恶意脚本并减少潜在的攻击向量。

但Safari在iOS、iPadOS和macOS上处理Safari中IndexedDB API的方式并非如此。

“在macOS上的Safari 15中，以及在iOS和iPadOS 15上的所有浏览器中，IndexedDB API都违反了同源策略，”Martin Bajanik在一篇文章中说。“每次网站与数据库交互时，都会在同一浏览器会话中的所有其他活动框架、选项卡和窗口中创建一个同名的新（空）数据库。”

这种侵犯隐私的后果是，它允许网站在不同的选项卡或窗口中了解用户正在访问的其他网站，更不用说在YouTube和Google Calendar等Google服务上准确识别用户，因为这些网站创建的IndexedDB数据库包含经过验证的Google用户ID，它是唯一标识单个谷歌账户的内部标识符。

Bajanik说：“这不仅意味着不受信任或恶意网站可以了解用户的身份，而且还允许将同一用户使用的多个独立帐户链接在一起。”。

更糟糕的是，如果用户从浏览器窗口的同一选项卡中访问多个不同的网站，泄漏还会影响Safari 15的私人浏览模式。我们已经联系苹果公司寻求进一步的评论，如果我们得到回复，我们将更新报道。

“这是一个巨大的漏洞，”谷歌Chrome的开发者倡导者杰克·阿奇博尔德在推特上写道。“在OSX上，Safari用户可以（暂时）切换到另一个浏览器，以避免数据跨源泄漏。iOS用户没有这样的选择，因为苹果公司禁止其他浏览器引擎。”