1 月 18 日消息，据外媒报道，防欺诈服务提供商 FingerprintJS 调查发现，苹果浏览器 Safari 15 中的一个漏洞可能会泄露用户的浏览活动，还可能泄露谷歌账户上的某些个人信息。

这个漏洞源于苹果推出的 IndexedDB，它是可在浏览器上存储数据的应用程序编程接口(API)。FingerprintJS 解释称，IndexedDB 遵守同源策略，该策略限制一个源与其他源收集的数据交互。本质上，只有生成数据的网站才能访问它。

举例来说，如果您在某个选项卡中打开电子邮件帐户，然后在另一个选项卡中打开恶意网页，同源策略会阻止恶意页面查看和干预用户的电子邮件。

FingerprintJS 发现，苹果在 Safari 15 中应用 IndexedDB API 实际上违反了同源策略。当网站与 Safari 中的数据库交互时，FingerprintJS 称：“在同一浏览器会话中的所有其他活动框架、选项卡和窗口中都会创建一个同名的新(空)数据库。”

这意味着，其他网站可以看到用户在不同网站上创建的其他数据库名称，其中可能包含特定于其身份的详细信息。FingerprintJS 注意到，当用户浏览需要谷歌帐户的网站时，如 YouTube、Google Calendar 和 Google Keep 等，都会生成名称中包含用户唯一谷歌账户 ID 的数据库。这个 ID 允许谷歌访问用户的公开信息，比如其个人资料，而 Safari 漏洞可能会将这些信息暴露给其他网站。

谷歌 Chrome 浏览器团队的 Web 开发倡导者杰克·阿奇博尔德(Jake Archibald)称：“这是个巨大的漏洞。在 OSX 上，Safari 用户可以(暂时)切换到另一个浏览器，以避免他们的数据跨来源泄露。而 IOS 用户没有这样的选择，因为苹果对其他浏览器引擎实施了禁令。”

为了衡量漏洞的严重程度，FingerprintJS 检查了访问量最高的 1000 个网站主页，如 Instagram、Netflix、Twitter 和 Xbox 等，其中有 30 多个网站直接在其主页上与索引数据库交互，而不需要任何额外的用户交互或身份验证。实际上，这个数字可能要高得多，特别是当用户开始访问其他页面或与该站点进行交互时。

FingerprintJS 对此进行了概念验证演示，如果用户在 Mac、iPhone 或 iPad 上安装了 Safari 15 或更新版本，则可以自己尝试。该演示利用浏览器的 IndexedDB 漏洞识别用户已打开(或最近打开)的网站，并显示利用该漏洞的网站如何从谷歌用户 ID 中窃取信息。

这个漏洞会影响 macOS 上的 Safari，以及 iOS 和 iPadOS 上的所有浏览器。这意味着，如果你拥有苹果设备，就有可能存在风险。

坏消息是，在苹果修复漏洞之前，人们无法避免这个问题，因为 FingerprintJS 称这个漏洞也会影响 Safari 上的“隐私浏览”模式。你可以在 MacOS 上使用不同的浏览器，但苹果在 iOS 上禁止第三方浏览器引擎意味着所有浏览器都会受到影响。FingerprintJS 已经向 WebKit Bug Tracker 报告了其发现。

好消息是，苹果已经开始着手解决这个问题。该公司已经将 FingerprintJS 报告的问题标记为“已解决”，但该修复还没有真正向终端用户发布。在此之前，最好还是在 macOS 上使用其他浏览器。（小小）