Photo by John Karakatsanis on https://www.flickr.com/photos/johnkarakatsanis/10542642704/in/photostream/ (CC BY-SA 2.0)

Google的資訊安全工程團隊,在本周揭露了蘋果Safari瀏覽器追蹤防護工具的多個安全漏洞,指稱該工具不僅無法保障使用者隱私,還可能遭到駭客開採,進而外洩使用者的瀏覽習慣,遭到駭客的跨站追蹤,或是洩露跨站資訊等。

蘋果是在2017年10月時,於Safari瀏覽器中導入智慧追蹤防護(Intelligent Tracking Prevention,ITP)機制,藉由限制cookie及其它網站資料的能力,來減輕使用者遭到跨站追蹤的風險。ITP的兩大主要功能,分別是根據使用者的流量建立裝置上的常用網域列表,以及針對這些常用網域所提出的跨站請求,部署隱私限制。

不過,Google的研究人員卻發現ITP的設計潛藏著許多隱私與安全問題,將允許駭客利用各種技術檢查ITP的狀態,進而展開攻擊。

研究人員描述了許多攻陷ITP的場景,這些攻擊行動有的可揭露ITP所存放的常用網域列表,有的可辨識使用者所造訪的網站,有的能夠建立永久的指紋,也能擅自將網域加入常用網域列表,還能利用ITP進行跨站搜尋。

研究人員還提醒,所有影響網路平台基本安全屬性的變更,都挾帶著可能危及使用者隱私或安全的風險,因此在執行相關變更時,應該要特別注意及了解它們對平台的影響,暗示著當初蘋果設計ITP時,可能欠缺完善的安全考量。

由於Google是在去年向蘋果揭露漏洞細節,因此蘋果已於去年12月釋出的Safari 13.0.4與iOS 13.3修補了相關漏洞。

熱門新聞

Advertisement