月18日消息:據(jù)MacRumors報道，瀏覽器指紋識別服務(wù)FingerprintJS周五發(fā)布的一篇博文稱，WebKit對一個名為IndexedDB的JavaScript API的實現(xiàn)存在一個錯誤，可以顯示用戶最近的瀏覽歷史甚至是身份。

簡而言之，該漏洞允許任何使用IndexedDB的網(wǎng)站訪問其他網(wǎng)站在用戶瀏覽會話期間生成的IndexedDB數(shù)據(jù)庫的名稱。這個錯誤可能允許一個網(wǎng)站跟蹤用戶在不同標(biāo)簽或窗口中訪問的其他網(wǎng)站，因為每個網(wǎng)站的數(shù)據(jù)庫名稱通常是唯一的。正確的行為應(yīng)該是，網(wǎng)站只能訪問他們自己的 IndexedDB 數(shù)據(jù)庫。

在某些情況下，網(wǎng)站在 IndexedDB 數(shù)據(jù)庫名稱中使用獨特的用戶特定標(biāo)識符。例如，YouTube創(chuàng)建的數(shù)據(jù)庫在名稱中包括用戶經(jīng)過認(rèn)證的谷歌用戶ID，根據(jù)FingerprintJS，這個標(biāo)識符可用于谷歌API，以獲取有關(guān)用戶的個人信息，如個人資料圖片。這些個人信息可以幫助惡意行為者確定用戶的身份。

據(jù)介紹，該漏洞影響了使用蘋果開源瀏覽器引擎WebKit的較新版本的瀏覽器，包括Mac版Safari15和所有版本的iOS15和iPadOS15的Safari。這個錯誤還影響到iOS15和iPadOS15上的Chrome等第三方瀏覽器，因為蘋果要求所有瀏覽器在iPhone和iPad上使用WebKit。FingerprintJS有一個關(guān)于該bug的視頻演示表明，Mac版Safari14等舊版瀏覽器不受影響。