Google的信息安全工程团队,在本周披露了苹果Safari浏览器关注防护工具的多个安全漏洞,指称该工具不仅无法保障用户隐私,还可能遭到黑客开采,进而外泄用户的浏览习惯,遭到黑客的跨站关注,或是泄露跨站信息等。
苹果是在2017年10月时,于Safari浏览器中导入智能关注防护(Intelligent Tracking Prevention,ITP)机制,借由限制cookie及其它网站数据的能力,来减轻用户遭到跨站关注的风险。ITP的两大主要功能,分别是根据用户的流量创建设备上的常用域名列表,以及针对这些常用域名所提出的跨站请求,部署隐私限制。
不过,Google的研究人员却发现ITP的设计潜藏着许多隐私与安全问题,将允许黑客利用各种技术检查ITP的状态,进而展开攻击。
研究人员描述了许多攻陷ITP的场景,这些攻击行动有的可披露ITP所存放的常用域名列表,有的可识别用户所访问的网站,有的能够创建永久的指纹,也能擅自将域名加入常用域名列表,还能利用ITP进行跨站搜索。
研究人员还提醒,所有影响网络平台基本安全属性的变更,都挟带着可能危及用户隐私或安全的风险,因此在执行相关变更时,应该要特别注意及了解它们对平台的影响,暗示着当初苹果设计ITP时,可能欠缺完善的安全考量。
由于Google是在去年向苹果披露漏洞细节,因此苹果已于去年12月发布的Safari 13.0.4与iOS 13.3修补了相关漏洞。