Google 报告指 Safari 保护隐私功能 ITP 存在漏洞

Google 资讯保安工程小组昨日发表报告，指 Apple 在 2017 年在 Safari 上推出的保护隐私功能 ITP （ Intelligent Tracking Prevention ，智能防止追踪）存在漏洞，有漏洞个人资料的可能性。 Apple 去年 12 月曾发表网志，感谢 Google 提供有关恶意利用 ITP 来追踪用户的报告，相信所指的就是昨日公开的报告。

ITP 是 Apple 在 2017 年 macOS 更新时引入 Safari 的隐私保护功能，用来限制以"第三方 Cookie "来进行跨网追踪。所谓第三方 Cookie ，简单来说就是浏览 A 网站时会留下 B 网站的 Cookie ，做法是 A 网站嵌入了来自 B 网络服务的 Javascript 程式，该些程式会追踪用户在源网站的行为和浏览纪录，以 Cookie 纪录下来。用来进行如用户行为调查、针对性广告等。常见的第三方 Cookie 就有广告平台、 Amazon 和 Facebook 等 SDK 。

Safari 和 Firefox 都早已禁止了这种第三方 Cookie ，而 Google 也在上月公布 Chrome 会在两年内逐步取消对第三方 Cookie 的支援。而今次 Google 报告指出 Safari 的 ITP 不单无法阻止恶意网站追踪用户，甚至反而可能泄漏用户浏览纪录！

报告指出五种利用 ITP 漏洞可采取的攻击：

1. 披露 ITP 清单中的网域；
2. 识别出个别到访过的网站；
3. 透过 ITP pinning 建立持续追踪指纹；
4. 将网域强制加入 ITP 清单；
5. 透过 ITP 进行跨网站搜寻攻击；

Google 的 Chrome 的保安与隐私的工程总监 Justin Schuh 指 Apple 虽然已经修补了漏洞，不过应该没有根治问题。因为与 ITP 同类限制第三方 Cookie 功能的缺陷在 Chrome 的 XSS Auditor 也能确认得到，一定要删除有问题的程式码才能解决得到，但那对 ITP 来说那是重要的部分，要看 Apple 打算怎样解决问题。

相关文章

阅览更多桌面电脑

ASUS TUF Gaming X570-Plus WiFi 开箱文

【MWC 2017】S835 + 4K HDR + Super Slow Motion！XPERIA XZ Premium 春季尾发售

日本总务省专用 iPhone 7 ??

学埋 Fb Instagram 测试按"热门动态"显示相片

Google也要向苹果低头?

老板平台梗要支持　Youtube 推出 Daydream 专用 App