未修补的安全漏洞使 Safari 成为 Mac、iPhone 和 iPad 上存在风险的网络浏览器。
图片来源:Nicole Lienemann - Shutterstock
尽管最近有一些关于 AirTags 彻底改变跟踪行业的负面报道,但与其他大型科技公司相比,苹果在隐私和安全方面已经建立了良好的声誉。 了解这一点后,您可能会惊讶地发现 Apple 自己的网络浏览器 Safari 目前无法安全使用任何该公司的平台,包括 Mac、iOS 和 iPadOS。
Safari 的严重问题可能会导致您的部分 Google 帐户数据和浏览历史记录因 IndexedDB 实施错误而被盗。 当您正常访问某个网站时,该网站应该只能访问由其自己的域名创建的任何数据库。 然而,这个错误允许网站查看其他数据库,并从这些数据库中抓取您的 Google 帐户头像、个人数据或浏览历史记录等信息。
注意:Apple 此后已在 iOS 15.3、iPadOS 15.3 和 macOS 12.2 中修复了此错误。。
使用 FingerprintJS 的测试站点Safari 泄密,您可以看到这个问题的实际情况。 当您在 Safari 中打开它时,该网站可能会立即获取您的 Google 用户 ID。 即使不能,您也可以在新选项卡中打开其任何测试网站,然后返回 Safari Leaks 几乎立即查看报告的浏览历史记录。 如果 Safari 正常工作,Safari Leaks 将无法访问此类信息,因为该网站只能访问其域创建的数据库中的数据。 但它可以从阿里巴巴、Instagram、Twitter 以及其他可能使用 IndexedDB JavaScript API 的网站上抓取信息。
FingerprintJS 是第一个报告该错误的人,但其 1 月 14 日的博客文章并不是第一次公开该错误。 据 FingerprintJS 称,该问题已于去年 11 月 28 日发布到 WebKit Bug Tracker 上,但直到 1 月 16 日(星期日),苹果才开始开发补丁,这意味着该错误至少在未得到处理的情况下运行了过去七周。
现在,苹果正在正式开发针对此安全漏洞的补丁,但在修复之前,Safari 仍然容易受到攻击。
如何应对此 Safari 安全威胁
如果您使用的是 Mac,一个简单的解决方法就是使用其他浏览器。 Chrome、Firefox、Edge、Opera,任您选择。 不幸的是,对于我们这些使用 iOS 和 iPadOS 的人来说,情况却并非如此。 虽然您可以在 App Store 中找到这些浏览器,但它们实际上与您在 Mac 上获得的浏览器不同。
Apple 就是 Apple,不允许开发者为 iPhone 和 iPad 开发自己的成熟浏览器。 相反,开发人员可以将浏览器的功能添加到 Safari 中,并将其作为单独的浏览器“出售”。 虽然 iOS 上的 Chrome 看起来像是桌面浏览器的移动版本,但它实际上是带有 Google 皮肤的 Safari。 当然,您可以使用 Mac 上的 Chrome 和 iPhone 上的 Chrome 之间的数据同步等便捷功能,但您在移动设备上使用的功能实际上是 Apple 的核心。
通常,这不是一个巨大的交易(尽管这很烦人)。 然而,由于安全问题,您无法像在 Mac 上那样更换浏览器。 在苹果针对三大平台上的 Safari 发布修复程序之前,无论您使用哪种“浏览器”,在 iPhone 或 iPad 上使用互联网都将存在风险。
本文于 1 月 26 日星期三更新,包含有关 Apple 针对该 Safari 错误的安全补丁的信息。
[朝九晚五]
