根據網路詐騙偵測開發商 Fingerprintjs 近期發現,蘋果 Safari 瀏覽器存在嚴重漏洞,只要系統 iOS 15、iPadOS 15 與 macOS Monterey 運行 Safari 15 版本,導致用戶個人資料和瀏覽歷史紀錄外洩,更讓駭客更能輕易取得Google帳號資料。
據 Fingerprintjs 漏洞分析報告指出, 蘋果 Safari 15 瀏覽器中存在 IndexedDB API 錯誤,原本 IndexedDB 資料庫主要是用來建立索引提高索引功能,能夠儲存用戶端瀏覽網站紀錄和帳戶資料,通常只能看見自己資料,而非用戶所有網頁資料。
不過 Safari 漏洞能造成所有使用 IndexedDB 網站,都能讀取 IndexedDB 資料庫,追蹤用戶瀏覽其他網站資訊,這也代表用戶在瀏覽惡意網站或不受信任網頁時,將會導致網站直接竊取帳戶資訊和歷史瀏覽紀錄。
Fingerprintjs 發現 Google服務會自動產生 IndexedDB ,像是 Google帳號、YouTube、Google日曆和 Gogole Keep 等會替帳號加入特殊標籤,也代表用戶如果使用 Safari 瀏覽其他惡意網站時,恐怕會遭受駭客利用 Safari 的 Bug 直接竊取用戶個人資料、照片等訊息。
除了Google 會受影響外,Fingerprintjs 檢測發現,全球30個熱門網站同樣會到影響,包含 Netflix、Instagram、Facebook、Twitter 等,未來受影響範圍也會持續擴大。
Fingerprintjs 表示已經將錯誤回報給 Apple,目前不管是 iPhone、iPad 或 Mac 電腦,只要系統運行最新 iOS 15、iPadOS 15 或 macOS ,並且使用 Safari 15 皆會受到影響,就算打開 Safari 私密瀏覽模式瀏覽網頁,也無法防止 Safari 15 個資外洩,其餘 iOS 14、iPadOS 14 或舊版 macOS 則不受影響。
如何防止遭受 Safari 漏洞攻擊?
方法1. macOS 系統換瀏覽器
如果是 macOS 用戶,當前系統是在使用 Safari 15 版本,先改用 Chrome 或 Firefox 瀏覽器,能夠有效避免受到 IndexedDB 漏洞影響。
方法2. iPhone、iPad 關閉 JavaScript
要是已經升級到 iOS 15 和 iPadOS 15 設備,當前不管是 Safari、Chrome 、Edge 或 Firefox 以及第三方瀏覽器,全都是使用 WebKit 引擎,換瀏覽器是無法避免,當前只能夠關閉 Safari 設定內的 JavaScript 。
不過要注意,要是直接關閉 iPhone、iPad 上的 Safari JavaScript 會導致瀏覽網頁時畫面異常,要是平常沒在逛其他不知名網站就不建議關閉,等待後續 iOS 15 、 iPadOS 15 釋出更新。
方法3. 等待蘋果釋出系統更新
根據 Github 提交的 WebKit漏洞通報,目前 Apple 已經準備要修正 Safari 漏洞 bug,會在近期釋出 macOS Monterey、iOS 15 和 iPadOS 15 更新,後續只要更新即可完美防堵 IndexedDB 錯誤。
我該擔心 Safari 漏洞嗎?
在蘋果尚未釋出系統更新修補 Safari 漏洞之前,許多人也會好奇我應該擔心嗎?要是平時瀏覽網站都屬於比較正規的網頁,基本是不用太過於擔心 IndexedDB 資料庫會外洩資料。
除非是習慣都會逛盜版網站、不知名網頁,就要保持警覺性,畢竟駭客或有心人士能在網頁加入惡意代碼,趁機竊取用戶歷史瀏覽紀錄和帳戶資訊,近一步轉售獲得商業利益。
更新:蘋果準備釋出 iOS 15.3 、iPadOS 15.3 與 macOS Monterey 更新修補 Safari 漏洞。
延伸閱讀:
- iOS 15.2.1 更新修正HomeKit漏洞與錯誤,災情耗電有改善?
- iPhone 13電話降噪功能在哪?蘋果證實不支援靠這招也能解決
- 收到陌生「iPhone家庭共享邀請通知」要怎麼做?用2招阻擋遮蔽
喜歡這篇文章教學,後續想了解更多Apple資訊、iPhone、Mac、3C隱藏技巧,歡迎追蹤 瘋先生FB粉絲團、瘋先生LINE@、訂閱瘋先生Google新聞、Telegram、Instagram以及 訂閱YouTube頻道,將會有更多非常實用的技巧教學分享給大家。