上周，存在于 WebKit 中的一個(gè) BUG 被曝光，黑客可以通過(guò)名為 IndexedDB 的 JavaScript API 實(shí)現(xiàn)入侵。瀏覽器指紋服務(wù) FingerprintJS 表示，這個(gè)錯(cuò)誤可以揭示你最近的瀏覽歷史，甚至是你的身份。

根據(jù) GitHub 上的 WebKit 提交，蘋(píng)果此后為該 BUG 準(zhǔn)備了一個(gè)修復(fù)方案，但該修復(fù)方案要等到蘋(píng)果發(fā)布 macOS Monterey、iOS 15 和iPadOS 15 更新版本的 Safari 后才會(huì)向用戶提供。當(dāng)被要求提供向公眾發(fā)布修復(fù)程序的時(shí)間框架時(shí)，蘋(píng)果拒絕發(fā)表評(píng)論。

該漏洞允許任何使用 IndexedDB 進(jìn)行客戶端數(shù)據(jù)存儲(chǔ)的網(wǎng)站訪問(wèn)其他網(wǎng)站在用戶瀏覽會(huì)話期間生成的 IndexedDB 數(shù)據(jù)庫(kù)的名稱。這個(gè)錯(cuò)誤可以讓一個(gè)網(wǎng)站跟蹤用戶在不同標(biāo)簽或窗口中訪問(wèn)的其他網(wǎng)站，因?yàn)閿?shù)據(jù)庫(kù)名稱往往是每個(gè)網(wǎng)站所特有的，有時(shí)數(shù)據(jù)庫(kù)名稱包含用戶特定的標(biāo)識(shí)符，可能會(huì)暴露用戶的身份。

FingerprintJS 有一個(gè)關(guān)于這個(gè) BUG 的動(dòng)態(tài)演示，它影響到使用蘋(píng)果開(kāi)源瀏覽器引擎 WebKit 的較新版本的瀏覽器，包括 MacOS 的 Safari 15 和所有版本的 iOS 15/iPadOS 15 的 Safari。該錯(cuò)誤還影響到iOS 15和iPadOS 15上的Chrome和Edge等第三方瀏覽器，因?yàn)樘O(píng)果要求所有iPhone和iPad瀏覽器都使用WebKit。