Safari 驚爆新漏洞!用戶過往「瀏覽紀錄全曝光」 iOS14 測試版已先搶修

▲iOS 13和macOS Catalina驚傳新安全漏洞。(圖/記者林敬旻攝)

記者林妤柔綜合報導

iOS 13和macOS Catalina驚傳新安全漏洞!該漏洞導致任何人能在Safari取到用戶的搜尋記錄,且能讓Safari Web Share API進入內部系統文件,例如歷史數據庫,再透過其他App輕鬆共享。

專業資安部落客Redteam.Pl指出,駭客可使用Safari Web Share API執行修改後的按鍵,請求進到用戶無法進入的內部操作系統文件。

Web Share API能提供App和網站「共享表」,用戶可透過郵件對話框等App輕鬆與他人分享Web內容,當點擊共享按鍵時,就能分享一個限定的URL(網址)或文件。Redteam.Pl發現,由於不明原因,任何人都可以使用「file:」格式輕鬆將Safari Web Share API加到有代碼網頁,傳送有敏感訊息的內部文件。

Redteam.Pl指出,按下系統的History.db文件中的「共享鍵」,該文件包含用戶在Safari的整個瀏覽記錄,正常情況下,用戶應無法接觸此文件,但Web Share API卻可以讀取該文件,並透過其App發送該文件。一旦將文件發送給其他人,就可以由管理SQLite數據庫的任何App打開。

儘管有HTML代碼基本知識的人可以發現該安全漏洞,但大多數用戶不會注意到他們正將歷史記錄發送給他人。

Redteam.Pl研究人員於今年4月聯繫蘋果公司報告安全漏洞,該公司正在調查問題,卻沒有進一步的細節。目前,iOS 14或macOS Big Sur的任何設備上無法重現該漏洞,代表蘋果已透過最新的Beta版本修復此漏洞,但蘋果尚未確認是否解決舊版iOS和macOS的用戶此問題,而iOS 14和macOS Big Sur預計於今年秋天纔會發佈。