Safari 惊爆新漏洞！用户过往 浏览记录全曝光

▲iOS 13和macOS Catalina惊传新安全漏洞。（图／记者林敬旻摄）

记者林妤柔／综合报道

iOS 13和macOS Catalina惊传新安全漏洞！该漏洞导致任何人能在Safari取到用户的搜寻记录，且能让Safari Web Share API进入内部系统的文件，例如历史数据库，再透过其他App轻松共享。

专业资安部落客Redteam.Pl指出，骇客可使用Safari Web Share API执行修改后的按键，请求进到用户无法进入的内部操作系统文件。

Web Share API能提供App和网站「共享表」，用户可透过邮件、对话框等App轻松与他人分享Web内容，当点击共享按键时，就能分享一个限定的URL(网址)或文件。Redteam.Pl发现，由于不明原因，任何人都可以使用「file:」格式轻松将Safari Web Share API加到有代码的网页，传送有敏感讯息的内部文件。

Redteam.Pl指出，按下系统的History.db文件中的「共享键」，该文件包含用户在Safari的整个浏览记录，正常情况下，用户应无法接触此文件，但Web Share API却可以读取该文件，并透过其App发送该文件。一旦将文件发送给其他人，就可以由管理SQLite数据库的任何App打开。

尽管有HTML代码基本知识的人可以发现该安全漏洞，但大多数用户不会注意到他们正将历史记录发送给他人。

Redteam.Pl研究人员于今年4月联系苹果公司，报告安全漏洞，该公司正在调查此问题，却没有进一步的细节。目前，iOS 14或macOS Big Sur的任何设备上无法重现该漏洞，代表苹果已透过最新的Beta版本修复此漏洞，但苹果尚未确认是否解决旧版iOS和macOS的用户此问题，而iOS 14和macOS Big Sur预计于今年秋天才会发布。