- +1
谷歌研究者披露:苹果Safari浏览器中曾有多个安全漏洞
谷歌的研究者披露了苹果Safari浏览器中的多个安全漏洞,这些漏洞让用户的浏览习惯能够被跟踪。颇为讽刺的是,这些漏洞是在苹果重点推出的“智能反追踪”(Intelligent Tracking Prevention)功能中发现,它原本是为了保护用户隐私而设计。
据英国金融时报1月23日报道,这些漏洞由谷歌在2019年8月发现。在一篇论文中,谷歌云团队的研究人员发现了漏洞可能引发的五种不同类型的潜在攻击,允许第三方能够获取“用户浏览习惯的私人敏感信息”。
看过上述论文的独立安全研究员Lukasz Olejnik说:“你不会希望一个增强隐私的技术暴露给隐私风险。如果被利用,这些漏洞可能导致未经批准且无法控制的用户跟踪。”
Olejnik还称,“尽管这种隐私漏洞如今非常罕见,但旨在改善隐私的机制中出现这些问题是出乎意料的,并且是高度不符合直觉的。”
2017年,苹果首次推出了智能反追踪功能,其主要目的是保护Safari浏览器用户免受广告商和第三方cookies的追踪。隐私倡导者将这一工具视为网络浏览器增强隐私保护的先驱,迫使包括谷歌Chrome浏览器在内的竞争者也增强他们的追踪控件。
“与其他方法不同,ITP(智能反追踪)的算法是运行在设备上的,这让监测用户行为和自动学习它们成为可能。”Olejnik说:“但这个专门为了用户的设计也成为了信息泄露的部分可能风险。”
根据谷歌研究员的说法,这些漏洞使个人数据暴露,“因为ITP列表隐式存储了用户访问网站的信息。”
研究人员还发现了一个漏洞,该漏洞可使黑客“创建一个永久的指纹在互联网上跟踪用户”,让其他人能够得知单个用户在搜索引擎页面搜索的内容。
2019年12月,苹果处理了安全漏洞,但没有披露任何细节。当时,隐私工程师John Wilander发表了一篇博客文章,介绍了其浏览器软件的安全更新,文章中他感谢谷歌的研究员“发给我们一篇报告,其中它们发现了当网页内容通过反追踪功能被不当处理的监测能力,和这种监测可能导致的不良后果”。
Wilander还补充道:“他们负责的披露做法让我们能够设计并测试上述更改。”
苹果公司证实,他们已经修补了谷歌2019年报告的问题。
- 报料热线: 021-962866
- 报料邮箱: news@thepaper.cn
互联网新闻信息服务许可证:31120170006
增值电信业务经营许可证:沪B2-2017116
© 2014-2024 上海东方报业有限公司