熱門:

2022年1月18日

StartupBeat 創科鬥室

Safari 15現漏洞 恐洩瀏覽紀錄

蘋果公司(Apple Inc.)旗下網頁瀏覽器Safari 15版本爆出嚴重漏洞,用戶瀏覽紀錄及谷歌(Google)賬戶等資訊有機會外洩。今次事故影響範圍甚廣,涉及iOS、iPadOS及macOS等。

黑客可盜Google賬戶資訊

美國瀏覽器指紋識別供應商FingerprintJS在網誌指出,事故源於WebKit引擎內,一項名為IndexedDB架構JavaScript程式碼API(應用程式介面)出現漏洞所致。IndexedDB為儲存用戶端數據庫的瀏覽器API,支援大多數瀏覽器,獲廣泛應用。

惟在Safari 15版本,IndexedDB API違反同源政策(Same Origin Policy),意即只有同源網站可相互存取資料的規定;故所有使用IndexedDB API的網站,均可跨網域、跨網站追蹤用戶瀏覽紀錄。據悉,黑客甚至可利用此漏洞,取得用戶Google賬戶資訊,包括User ID及頭像等。即使用戶開啟Safari的私密瀏覽模式,亦難阻資料外洩。

科技網媒MacRumors表示,鑑於蘋果要求第三方瀏覽器(例如Chrome),須在iPhone及iPad上使用WebKit引擎,故用戶若在iOS 15及iPadOS 15使用Chrome瀏覽器,亦有相關的資安風險。不過,Safari 14或其他較舊的版本,暫不受相關漏洞影響。

蘋果至今未修正堵塞

一眾果粉該如何自保?FingerprintJS製作Demo網站,供用戶自行測試其裝置是否中招,該網站亦建議有關Mac用戶,可考慮停用所有JavaScript程式碼,選擇每次授權信任網站,減少資料外洩風險,惟此舉會令用戶上網非常不便,亦不適用於iPhone及iPad用戶。FingerprintJS強調,最理想解決方法是待蘋果一方修正及更新軟件,方可堵截漏洞。早在去年11月28日,FingerprintJS已向蘋果滙報有關漏洞,惟至今仍未修復。科技媒體Engadget亦曾向蘋果查詢事件,暫未獲回覆。

訂戶登入

回上

信報簡介 | 服務條款 | 私隱條款 | 免責聲明 | 廣告查詢 | 加入信報 | 聯絡信報

股票及指數資料由財經智珠網有限公司提供。期貨指數資料由天滙財經有限公司提供。外滙及黃金報價由路透社提供。

本網站的內容概不構成任何投資意見,本網站內容亦並非就任何個別投資者的特定投資目標、財務狀況及個別需要而編製。投資者不應只按本網站內容進行投資。在作出任何投資決定前,投資者應考慮產品的特點、其本身的投資目標、可承受的風險程度及其他因素,並適當地尋求獨立的財務及專業意見。本網站及其資訊供應商竭力提供準確而可靠的資料,但並不保證資料絕對無誤,資料如有錯漏而令閣下蒙受損失,本公司概不負責。

You are currently at: www.hkej.com
Skip This Ads