谷歌研究人员日前声称在苹果Safari浏览器中发现了“多个安全漏洞”。这些漏洞是在Safari的“智能跟踪预防功能”中发现的,该功能旨在保护用户免受跨站点跟踪和其他在线隐私问题的影响,不过漏洞已经得到修复。
谷歌云计算团队的研究人员在即将发表的论文中解释了这些漏洞。在论文中,谷歌研究人员已经确定了五种不同的攻击,这些攻击可能是针对Safari安全漏洞进行的。
谷歌研究人员说,Safari的智能跟踪预防系统将个人数据暴露出来,因为它“隐含地存储了用户访问的网站信息”。具有讽刺意味的是,谷歌研究人员还表示,有个安全漏洞允许黑客“创建一个持久指纹,跟踪用户的网络活动”。其他漏洞“能够揭示个人用户在搜索引擎页面上搜索的内容”。
从本质上说,苹果智能跟踪预防平台中的安全漏洞反而使用户容易受到跟踪,这与该功能的初衷截然相反。看过这篇论文的独立安全研究员卢卡斯·奥列伊尼克(Lukasz Olejnik)说:“你不能指望增强隐私的技术会带来隐私安全。如果漏洞被利用,它们将允许未经批准和无法控制的用户跟踪。”
谷歌在去年8月份向苹果通报了这些漏洞,苹果在12月份推出了对Safari智能跟踪预防功能的修复。苹果在去年12月的一篇博客文章中提到了这些修复,并感谢谷歌的帮助。当时苹果称:“我们要感谢谷歌给我们发来的一份报告,他们在报告中探讨了通过跟踪预防来检测网络内容何时被区别对待的能力,以及这种检测可能带来的糟糕后果。”
话虽如此,谷歌Chrome工程总监贾斯汀·舒赫(Justin Schuh)今天早上在Twitter上表示,尽管苹果声称漏洞已经修复,但实际情况并非如此。
苹果在自己的Safari浏览器上可谓用心良苦,就保护隐私来说,苹果使用了诸如控制cookies、隐藏细节等一系列方法,可如今还是存在各种各样的漏洞。
早在2018年,苹果公司就开始对cookies下手。以往,Safari会在用户最后一次访问服务器后24小时再禁止保存在第三方网站的服务cookies。这段缓冲期给Facebook、谷歌等服务提供了极大便利。经过调整后,Safari将自动阻止这些cookies,或推送提示征求用户的许可。
Cookies的使用不仅限于访问特定网站。比如,其他内嵌了Facebook的“喜欢”、“分享”按钮的网站会向Facebook的服务器发送信息等待服务器的回复,然后Facebook的服务器便可以访问用户存储的cookies。这意味着Facebook将知道用户频繁访问的网站或阅读的新闻。然后,可以根据这些信息定制广告。经过调整的Safari功能将使得这一波操作更加困难。
