相比其他设备的自带浏览器,苹果的Safari一直都给人安全、隐私保护力度强的印象,但是蕞近,浏览器指纹识别服务商FingerprintJS发布了一篇博客,内容却是针对Safari的安全性的。
他们发现,Safari 15在实现IndexedDB API时存在一个漏洞,该API允许任何网站跟踪用户的浏览记录,甚至泄露用户Google帐户的部分身份信息。
No.1
首先为大家解释一下IndexedDB API是什么意思。
IndexedDB是一个用在浏览器客户端存储的API,可以保存大量用户数据,目前被普遍使用在所有主要的浏览器上。
像大多数浏览器技术一样,IndexedDB遵循同源证策。这是一种基本的安全机制,它限制了从一个源头加载的文档或脚本与其他源头的资源交互。被索引的数据库与特定的源相关联,也就是说只有生成数据的网站才能访问它。
例如,如果在一个标签页中打开电子邮件帐户,然后在另一个标签页中打开恶意网页,同源证策会阻止恶意页面查看和干预电子邮件。
Safari 15的这个漏洞,正是IndexedDB API违反了同源策略造成的。也就是说如果用户同时打开了A网站和B网站,其中任意一个网站都有可能看到其他网站的信息,用户的身份信息、浏览记录等都会一览无遗。
而且隐患也不仅仅在于此,因为苹果要求iPhone和ipad上的浏览器都使用webkit,所以甚至还可能会危及到弟三方的浏览器。
目前,超过30个网站直接在其主页上与IndexedDB交互,无需任何额外的用户交互或认证,包括Instagram、Netflix、Twitter、Xbox等,这些网站都有可能受到影响。
No.2
这种浏览器本身的漏洞,作为用户是很难防范的,只能等待苹果WebKit开发团队在蕞新版本中修复这个漏洞,然后立即更新浏览器或者操作系统。
截至目前,苹果官方似乎还没有对这件事作出回应。虽然我们知道技术团队修复漏洞需要一定的时间,但是还是希望能够尽快更新版本,保障用户的信息安全。
其实在大众印象中,非常安全的一些浏览器,都可能会存在安全漏洞,Safari也不是弟一次被发现安全隐患。
2018年,就有研究人员发现Microsoft Edge和苹果Safari都出现了同一漏洞。
这个漏洞就是网址列欺骗,原因是浏览器允许JavaScript在网页完全加载之前更新网址列的内容。黑客利用setInterval函式造成的时间延迟,加载假网站的内容,导致用户可能会连接到恶意网站。
同一年,苹果iOS/OS X还曾曝出一个漏洞,恶意应用借助漏洞可以绕过沙箱及其他安全保护措施进入App Store,然后从其他应用的钥链中获取密码,窃取其他应用的隐私数据,劫持网络端口,并假扮不同的应用拦截某些对话。
No.3
世界top级别的企业产品还会发现这么多漏洞,难道是苹果的测试工程师工资没到位吗?
软件测试中常会被问到的一个问题是,软件测试到底能不能找出所有的漏洞。
答案是不能的。
bug如同沙里淘金。首先你会发现大的金块,后来只能找到金粒,再后来,你只能找到金沙。而且,越到后面,找到一个bug付出的代价越高。但终究无法穷尽。
造成这一点的原因是,测试是对用户使用过程的模拟。既然是模拟,就无法穷尽所有场景和环境,也无法穷尽用户的使用方式和习惯。
也正因为如此,越是成熟的软件产品,就越要防备来自各种渠道、各种形式的攻击。
现在对于企业来说,招聘到合适的安全测试人才相当不易,并非IT企业的招聘要求苛刻,实际情况是大量求职人员受专业技能限制而无法满足企业需求。
安全测试工程师工作的重点在于对企业信息化建设和维护,其中包含技术及管理等方面的工作,工作相对稳定,随着项目经验的不断增长和对行业背景的深入了解,掌握企业核心网络架构、安全技术,具有不可替代的竞争优势。
海外精品引流脚本--最强海外引流
唯一TG:https://t.me/Facebook181818
