作者wl0076688 (R)
看板iOS
标题[情报] 密码全盗光!快关iPhone「这设定」保命
时间Tue Jan 18 12:57:51 2022
【情报来源】 Yahoo新闻
原网址:
https://tw.news.yahoo.com/%E5%AF%86%E7%A2%BC%E5%85%A8%E7%9B%9C%E5%85%89-%E5%BF%AB%E9%97%9Ciphone-%E9%80%99%E8%A8%AD%E5%AE%9A-%E4%BF%9D%E5%91%BD-%E7%88%86%E5%8D%B1%E9%9A%AA%E6%BC%8F%E6%B4%9E-033708506.html
短网址:
https://bit.ly/3FPwLYR
【情报内容】(国外新闻/情报请附上简单翻译)
密码全盗光!快关iPhone「这设定」保命 爆危险漏洞
https://i.imgur.com/I1U1FhN.png
苹果爆出漏洞。(示意图/Shutterstock达志影像)
现在3C产品愈来愈发达,机密文件也容易外泄。苹果iOS 15、iPadOS 15的浏览器Safari
就出现严重大问题,导致骇客轻易获取帐密等私人资讯,不论使用iPhone、Mac都中镖,
赶紧关掉「这设定」才能解决!
浏览器指纹辨识服务业者「FingerprintJS」发布一篇文章,表明苹果iOS 15、iPadOS 15
的浏览器Safari有个程式错误,民众即时上网资讯全部泄露出去,骇客恐取得民众Google
帐号、密码。
https://i.imgur.com/uZVu4uu.png
FingerprintJS发现苹果有重大漏洞。(图/翻摄自FingerprintJS)
而这项程式错误是位在苹果的「IndexedDB」资料库工具,用於客户端存储的浏览器,正
常来说使用者在IndexedDB资料库,只能看见属於自己的资料,并不能到所有资讯,不过
现在却因为出现程式错误,就怕完整资料库被骇客盗走。
FingerprintJS进一步指出,因为Google网站在「IndexedDB」中设特殊的标签,意味着能
准确识别民众个人资料,像是Google帐号、密码、YouTube、Google 日历和 Google Keep
,以及民众个人资料、照片等,都可能被骇客轻易取得。
https://i.imgur.com/scS7Rq0.png
苹果正式释出了iOS 15 作业系统。(示意图/shutterstock达志影像)
至於要如何防范?由於目前暂时没有完善方式可以解决,在苹果正式更新前,民众可以先
在Safari 的设定中关闭 JavaScript,不过可能会影响网页浏览效果,只能等苹果释出更
新修复这项大BUG。
【介绍及心得】
Safari在iOS 15上的漏洞,可能会泄露Google帐密
https://bit.ly/33vKxT3
https://www.reddit.com/r/apple/comments/s4ynf3/bug_in_safari_15_leaks_your_browsing_activity_in/
看一下国外讨论似乎确有其事
在更新修复之前最好先将设定关掉
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 223.137.51.98 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/iOS/M.1642481873.A.48D.html
1F:推 cacud : 关掉什麽? 01/18 13:12
Safari设定的JavaSript
※ 编辑: wl0076688 (223.137.51.98 台湾), 01/18/2022 13:13:44
2F:推 houji : 内文有写啊,JavaScript 01/18 13:13
3F:推 timmyjjljg : 回一楼,在Safari 的设定中关闭 JavaScript 01/18 13:14
4F:嘘 Ayucyndi : 「这设定」 01/18 13:14
5F:推 Prado4840 : 再次证明在i(n-1)停住是最佳选择 01/18 13:14
6F:推 tiesto06202 : 又是Java 01/18 13:14
7F:推 simon978 : 找半天 原来在safari 进阶里面 01/18 13:20
8F:→ NintendoGC : Java 和 JavaScript 是不同的东西... 01/18 13:21
9F:推 a8628989 : 关了对使用有什麽影响吗 01/18 13:22
10F:→ NintendoGC : Java 现在是 Log4J 在烧... 01/18 13:22
11F:→ NintendoGC : JavaScript 关了,现今网页没几个能完全运作正常 01/18 13:22
12F:推 greg7575 : 关了连google都会炸裂 01/18 13:25
13F:推 marchcharlie: 关了就啥鬼都不用看了 01/18 13:29
14F:推 honulala : 没有使用safari会有影响吗 01/18 13:41
15F:嘘 bigbowl : 好丑的大拇指 01/18 13:49
16F:推 PPPGGG : 关了safari 也可以删掉了 01/18 13:51
17F:推 Supasizeit : 看原文没提到密码 01/18 14:26
18F:推 alwang : 根据fingerprintJS网站说的 所有浏览器都会外泄 01/18 14:27
19F:嘘 KadourZiani : 幸好我还是ios14 01/18 14:28
20F:推 morphyster : 关了还有可以用的网站吗? 01/18 14:30
21F:推 mcconnell : 关了,开苹果官网没问题,开其他网页悲剧 01/18 14:31
22F:→ zhmmg25 : 不要乱听记者讲的...现在网站几乎都有JavaSript 01/18 14:39
23F:→ zhmmg25 : 乾脆说把SAFIRI删掉好了,岂不是更容易操作? 01/18 14:40
24F:推 Luos : 没有js 还有屁用 01/18 14:41
25F:推 alwang : 看起来安全问题不大 主要是隐私问题 会担心的改用 01/18 14:42
26F:→ alwang : 隐私模式连览应该就好了 01/18 14:42
27F:推 yoshilin : Apple真的垃圾 01/18 14:44
28F:推 EraKing : 这设定,什麽设定,现在垃圾标题有够泛滥 01/18 14:53
29F:→ kouta : 只有谷歌帐号有问题? 01/18 15:10
30F:推 guanting886 : 记者大概不知道自己在冲三小 关JavaScript XD 01/18 15:34
31F:嘘 wei5730 : 关js?可能只剩政府网站能跑 01/18 15:35
34F:推 guanting886 : 我觉得有些人蛮适合被记者牵着走的XD 不知道什麽问 01/18 15:46
35F:→ guanting886 : 题就在讲人家垃圾 01/18 15:46
36F:推 robinsonXD : 看不懂 还好我6S 01/18 16:09
37F:推 Ilou : 用chrome没差吧 01/18 16:27
38F:嘘 nimab : 号称最安全最能保护隐私的iPhone 01/18 16:53
39F:推 p74101318 : 苹果安全不是因为他多厉害,是因为他很封闭 01/18 17:08
40F:→ p74101318 : 封闭到有洞被搞很久也不自知 01/18 17:08
41F:→ a100900 : 好怕怕 01/18 17:29
42F:→ GrandpaM : 关了没差吧 手机萤幕这麽小 很少有人用它来上网吧 01/18 17:49
43F:→ GrandpaM : 都用用app或功能性东西而已 01/18 17:49
44F:→ jamt : 真是安全啊iOS 01/18 18:02
45F:→ superlii : 真安全 不愧我大apple 01/18 18:04
46F:推 SaveLoad : 还以为是发在友板的文,差点就要喷出大不敬的推文惹 01/18 18:32
47F:→ Medic : 不用说iOS 现在PC浏览器关掉JS 能动的网站没几个XD 01/18 18:48
49F:推 zxzx8059 : FingerprintJS进一步指出,因为Google网站 01/18 19:29
50F:→ zxzx8059 : 在「IndexedDB」中设特殊的标签,意味着能 01/18 19:29
51F:→ zxzx8059 : 准确识别民众个人资料 01/18 19:29
52F:→ zxzx8059 : google干的…. 01/18 19:29
53F:嘘 xxhellosexy : 标题误导,原文只提到会泄露Google帐户的公开资讯 01/18 19:32
54F:嘘 eter98832 : 这设定? 01/18 19:34
55F:推 Yohachan : Google搞的结果骂苹果是…? 01/18 19:53
56F:推 MonkeyCL : 小心苹果 01/18 20:04
57F:→ tf310244 : 所以这影响到底多大 01/18 20:22
58F:推 johnny719top: 谷歌开二阶段没在怕 要盗尽量盗 01/18 20:26
59F:推 oldk13 : 我都用edge,应该不用管这玩意了对吧 01/18 21:10
60F:嘘 ht9410310000: 农场标题 01/18 21:21
61F:推 bigbowl : 结论是:google的锅 01/18 21:24
62F:→ letyoufree : iOS 12路过 01/18 21:32
63F:嘘 blueayao : 要转文章就转,干嘛标题也要学农场文啊不会写出是 01/18 22:14
64F:→ blueayao : 哪个设定吗 01/18 22:14
65F:嘘 kakukangen : 低能标头 01/18 22:21
66F:嘘 Asbtt : 去卓二版取暖。 01/18 22:22
67F:推 TllDA : 本来就是苹果的锅,会看成google比较好笑 01/18 23:42
68F:推 l11k755013 : 呃,这文章真是智力测验…纠出好多科技文盲跟识读 01/18 23:57
69F:→ l11k755013 : 能力有问题的人…笑死 01/18 23:57
70F:→ jamt : “iOS”板一堆科技文盲跟识读有障碍的人不是很正常 01/19 00:11
71F:→ jamt : 吗? 01/19 00:11
72F:→ kouta : 到处自介XD 01/19 02:48
73F:嘘 NDSL : 干所以是哪个设定 农场标题情报量有够低 01/19 04:15
74F:嘘 blue09 : 「这设定」XDDD 01/19 05:18
75F:→ blue09 : 还有大拇指真的丑,看了不舒服XDD 01/19 05:19
76F:嘘 WulinWorks : 低能文章 01/19 07:10
77F:嘘 cychangcs : 农场标题 01/19 07:30
78F:嘘 hitsukiaoi : 恩 01/19 08:15
79F:嘘 PONANZA : 现在网页JS关掉怎麽可能会动 不懂就别乱写 01/19 09:42
80F:→ jamt : 哇,看到一个科技文盲跟识读障碍的东西出现了 01/19 10:21
81F:→ sagittarious: 如果这麽严重,那股票早就跌了吧,而且电视新闻早 01/19 10:49
82F:→ sagittarious: 就会报一堆了吧,新闻媒体干嘛用这种标题啊。 01/19 10:49
83F:→ dragon6 : 双因素验证赶紧开吧 01/19 11:29
84F:嘘 BigHeadDoggy: 可怜 01/19 12:28
85F:推 sadtangobi : 推楼上d大 01/19 12:29
86F:推 RedLiam : 果酸好急 01/19 12:32
87F:→ Killercat : 你嘛帮帮忙 google不会存密码在idb的tag name上啦.. 01/19 13:41
88F:→ Killercat : 真的这样干的话那就是google的包了 但是没有 01/19 13:41
89F:嘘 skypeoss : 所以这个设定是哪个设定 == 还有现在哪个网页关JS 01/19 14:47
90F:→ skypeoss : 还跑得动啦 01/19 14:47
91F:→ romber : …这是Apple浏览器引擎的洞,存在於iOS所有浏览器、 01/19 16:11
92F:→ romber : 各平台safari,影响所有网站,而Google只是被拿来举 01/19 16:11
93F:→ romber : 例,另外新闻错很多,并不会泄漏密码,只会泄漏浏览 01/19 16:11
94F:→ romber : 记录跟部分帐号资讯 01/19 16:11
96F:→ asteea : 密码不会泄漏(会存密码在浏览器储存区的都该倒一倒) 01/19 18:05
97F:→ asteea : 标题和内文很多错误 虽然漏洞是有但照文章理解会歪 01/19 18:06
98F:→ kouta : 酷 地图炮侮辱板友不用水桶 01/19 19:37
99F:→ jamt : 只会到处留废话的人不该永桶? 01/19 19:40
100F:→ jamt : 这篇中地图炮的人可多罗 01/19 19:40
101F:→ jamt : 我各人觉得生性喜造谣的人该永桶啦,知道我说谁吼, 01/19 19:41
102F:→ jamt : 毕竟被认证过了 01/19 19:41
103F:嘘 TommyHilfige: 农场标题必嘘 01/19 23:09
104F:嘘 l95566 : IOS版没版主拉 别再说要永桶了 01/20 00:43
105F:嘘 orz007 : 智障农场仔去给狗干 01/20 02:27
106F:推 yahappy4u : 苹果加油啊 01/20 02:46
107F:嘘 ewrqaqaqar : 好了啦 01/21 14:24