據(jù)MacRumors報道，根據(jù)瀏覽器指紋識別服務提供商 FingerprintJS 周五分享的一篇博客文章，WebKit 的一個名為 IndexedDB 的 JavaScript API 中的一個 Bug 可以泄露用戶最近的瀏覽歷史甚至身份。

該 Bug 允許任何使用 IndexedDB 的網(wǎng)站在用戶瀏覽會話期間訪問其他網(wǎng)站生成的 IndexedDB 數(shù)據(jù)庫的名稱。這個漏洞可以讓一個網(wǎng)站跟蹤用戶訪問的其他網(wǎng)站，因為每個網(wǎng)站的數(shù)據(jù)庫名稱通常是唯一的。正確的行為應該是，網(wǎng)站只能訪問自己的 IndexedDB 數(shù)據(jù)庫。

根據(jù) FingerprintJS 的描述，YouTube 創(chuàng)建的數(shù)據(jù)庫包含經過認證的谷歌用戶 ID，這個標識符可以與谷歌 API 一起獲取頭像等用戶的個人信息。

據(jù)介紹，這一 Bug 會影響使用蘋果開源瀏覽器引擎 WebKit 的新版本瀏覽器，包括 Mac 版的 Safari 15以及 iOS 15和 iPadOS 15所有版本的 Safari 瀏覽器。該漏洞也會影響第三方瀏覽器，如 iOS 15和 iPadOS 15上的 Chrome，因為蘋果要求所有瀏覽器在 iPhone 和 iPad 上使用 WebKit。FingerprintJS 演示顯示，Mac 版的 Safari 14等舊版瀏覽器不受影響。