新的 iLeakage 攻击可利用 Safari 从 Mac、iPhone 上窃取敏感数据
Hackernews 编译,转载请注明出处: 学术研究人员披露了一种新的类似Spectre的侧信道攻击的细节,该攻击利用Safari从Mac、iPhone和iPad中窃取敏感信息。 这种名为iLeakage的新方法,被描述为一种不定时的推测性执行攻击,它可以诱使Safari呈现任意网页,并从该页面获取信息。 攻击者需要引诱目标Safari用户访问恶意网站,然后该网站会自动打开他们想要窃取信息的网站。这是可能的,因为渲染过程同时处理iLeakage攻击网站和目标网站。 iLeakage是由密歇根大学、佐治亚理工学院和波鸿鲁尔大学的研究人员发现的,他们本周发表了一篇论文,详细介绍了他们的发现。 专家们展示了这种攻击如何用来获取密码和其他敏感信息。他们发布了视频演示,展示了iLeakage攻击如何被用来窃取由密码管理器自动填充的Instagram凭据、Gmail收件箱中的电子邮件主题行以及用户的YouTube观看历史。 研究人员在2022年9月向苹果公司报告了这一发现,但这家科技巨头迄今为止只为macOS上的Safari提供了缓解措施,而且它不是默认启用的,同时还不稳定。 苹果表示,研究人员开发的概念验证推进了该公司对这类威胁的理解。苹果计划在下一个预定的软件发布中进一步解决这个问题。 一方面,没有证据表明iLeakage在野外被利用,这种攻击并不容易进行。研究人员称,实现攻击需要对基于浏览器的侧信道攻击和Safari的实现有深入的了解。 另一方面,专家们指出,这种攻击难以检测,因为它在Safari中运行,不会在系统日志文件中留下任何痕迹。 在macOS上,iLeakage只影响Safari,因为其他浏览器如Edge、Firefox和Chrome使用不同的JavaScript引擎,然而,在iOS上,这种攻击也可以在其他浏览器中使用,因为Chrome、Edge和Firefox基本上是在Safari之上的封装。 研究人员指出,“iLeakage攻击方法表明Spectre攻击仍然是相关的,并且可以被利用,即使在Spectre攻击被发现以来已经进行了近6年的努力去缓解”。 Hackernews 编译,转载请注明出处 消息来源:SecurityWeek,译者:Serene
苹果 Safari 浏览器漏洞允许跨站点用户跟踪
Hackernews 编译,转载请注明出处: 在苹果 Safari 15的 IndexedDB API 实现中放入的一个软件漏洞可能被恶意网站利用,以追踪用户在网络浏览器中的在线活动,更糟糕的是,它还可能泄露用户的身份。 2021年11月28日,防欺诈保护软件公司 FingerprintJS 向 iPhone 制造商报告了这一漏洞。 IndexedDB 是 web 浏览器提供的一个低级 JavaScript 应用程序编程接口(API) ,用于管理结构化数据对象(如文件和 blob)的 NoSQL 数据库。 “像大多数 web 存储解决方案一样,IndexedDB 遵循同源策略,”Mozilla 在其 API 文档中指出。”因此,尽管您可以访问域内存储的数据,但不能访问跨不同域的数据。” 同源是一种基本的安全机制,它确保从不同的来源(即方案(协议)、主机(域)和 URL 的端口号等)检索到的资源彼此隔离。这实际上意味着“ http [ : ]/example [ . ]Com/”和“ https [ : ]//example [ . ]Com/”并不是同一个来源,因为它们使用不同的方案。 通过限制从一个来源加载的脚本与另一个来源的资源进行交互的方式,用于隔离潜在的恶意脚本,通过预防流氓网站运行任意的 JavaScript 代码来读取来自另一个域的数据(比如电子邮件服务),来减少潜在的攻击载体。 但是 Safari 在 iOS、 iPadOS 和 macOS 中处理 IndexedDB API 的情况并非如此。 “在 macOS 上的 Safari 15,以及 iOS 和 iPadOS 15上的所有浏览器中,IndexedDB API 都违反了同源政策,”Martin Bajanik 在一份报告中写道。每当网站与数据库交互时,在同一浏览器会话中的所有其他活动框架、标签和窗口中都会创建一个具有相同名称的新(空)数据库 这种侵犯隐私的后果是,它允许网站知晓了用户在不同的选项卡或窗口中访问的其他网站,更不用说准确识别像 YouTube 和 Google Calendar 这样的谷歌服务上的用户,因为这些网站创建了 IndexedDB 数据库,其中包括经过验证的谷歌用户 id,这是一个识别单个谷歌账户的内部标识符。 “这不仅意味着不受信任或恶意的网站可以知道用户的身份,而且还可以知道同一用户使用的多个独立账户,”Bajanik 说。 更糟糕的是,如果用户在浏览器窗口的同一个标签内访问多个不同的网站,这种泄漏还会影响 Safari 15的隐私浏览模式。我们已经联系了苹果公司,希望得到进一步的评论,如果得到回复,我们将更新相关报道。 “这是一个巨大的漏洞,”谷歌 Chrome 开发者杰克 · 阿奇博尔德在推特上写道。”在 OSX 上,Safari 用户可以(暂时)切换到另一个浏览器,以避免其数据跨源泄漏。iOS 用户没有这样的选择,因为苹果(Apple)禁止其它浏览器引擎。” 消息来源:TheHackerNews,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文
Safari 现支持 NFC、USB 和 Lightning FIDO2 兼容的安全密钥
在面向开发者和公测用户的iOS 13.3版本更新中,允许Safari浏览器支持NFC、USB和Lightning FIDO2兼容的安全密钥。该功能事实上在iOS 13.3的首个开发者Beta版本中已经启用,不过在今天发布的Beta 2提供了更详细的信息。在苹果官方支持文档中写道:“现在在具备必要硬件功能的设备上,Safari、SFSafariViewController、以及使用WebAuthn标准的ASWebAuthenticationSession中支持NFC、USB和Lightning FIDO2兼容的安全密钥。” 在iOS 13.3更新中,Safari将支持物理安全密钥,例如配备了Lightning的YubiKey,可用于更安全的两因素身份验证。Yubico早在8月份就宣布了YubiKey 5Ci,但在发布之时,它的功能有限,因为它虽然不能与Safari,Chrome或其他主要浏览器一起使用,但兼容1Password等应用。 在得到Safari的支持之后,YubiKey 5Ci就成为了一个合法有用的工具。由于不需要输入安全密码,因此它比基于软件的双因素身份认证更方便,你只需要将它插入到iPhone或者Mac设备上就能完成身份认证。在macOS的Safari 13此前已经添加了对使用WebAuthn的FIDO2兼容USB安全密钥的支持。 在iOS 13.3更新之后,其他基于NFC,USB和基于Lightning的安全密钥也将与Safari一起使用。目前尚不清楚iOS 13.3何时正式发布,不过在经过数周的Beta测试之后我们有望在12月看到正式版。 (稿源:cnBeta,封面源自网络。)
Pwn2Own 2019 黑客竞赛首日:Mac 版 Safari 浏览器再曝两个零日漏洞
本周,第 19 届 CanSecWest 安全会议正在加拿大温哥华举行,同时我们迎来了一年一度的 Pwn2Own 黑客竞赛。周三开始的竞赛中,安全研究人员 Amat Cama 与 Richard Zhu 携手,率先曝光了两个与 Mac 版 Safari 浏览器有关的零日漏洞。其成功地利用了整数堆栈溢出的暴力技术组合来逃离沙箱,获得了 5.5 万美元的奖金。 当天晚些时候,又有三位黑客(Niklas Baumstark、Luca Todesco、以及 Bruno Keith)成功地借助内核提权,攻破了 Safari 浏览器。 尽管他们展示了一套完整的访问,但只能算是部分胜利,因为据说苹果已经知晓了演示的其中一个漏洞。不过最终,他们还是拿到了 4.5 万美元的奖金。 Pwn2Own Vancouver 2019 – Day One Results(via MacRumors) 据悉,在 Pwn2Own 黑客竞赛的第一天,参与者们一共领走了 24 万美元的奖金。第二天的比赛正在进行中,期间发现的所有漏洞报告,都会提交给原公司,以便其对系统进行修补。 (稿源:cnBeta,封面源自网络。)
苹果为 Safari 推新隐私功能:防止用户浏览习惯泄露
讯 北京时间9月17日上午消息,苹果为Safari浏览器中推出一系列新隐私功能,包括控制cookies,这将使Facebook等公司更难跟踪用户。 一直以来,各大公司习惯使用cookies来记录用户过去的访问内容。这有助于保存登录信息和偏好设置。但如今,这些cookies也被用来绘制用户画像,以便根据用户的喜好精准推送广告。 Cookies的使用不仅限于访问特定网站。比如,其他内嵌了Facebook的“喜欢”、“分享”按钮的网站会向Facebook的服务器发送信息等待服务器的回复,然后Facebook的服务器便可以访问用户存储的cookies。这意味着Facebook将知道用户频繁访问的网站或阅读的新闻。然后,可以根据这些信息定制广告。 但是,新的Safari功能将使得这一波操作更加困难。 没有缓冲期 以往,Safari会在用户最后一次访问服务器后24小时再禁止保存在第三方网站的服务cookies。这段缓冲期给Facebook、谷歌等服务提供了极大便利。如今,Safari将自动阻止这些cookies,或推送提示征求用户的许可。 苹果表示,Safari仍可以保存用户的登录信息等偏好细节,不过有些网站将需要调整他们的代码。 隐藏细节 浏览器通常会显示有关您设备的看似无害的信息,比如使用的操作系统和安装的字体。网站可以利用这些信息来针对页面进行格式上的微调。 一直以来,浏览器上提供大量信息,很大程度上是因为这些信息看似无害。但如今,这些信息放到一起,足以用来识别用户身份。Safari现在将隐藏其中的许多细节,以便隐去用户的身份特征。 隐私服务Anonymizer的创始人兰斯·科特雷尔(Lance Cottrell)表示,这和数字化模糊某人照片的系统有点相似。“你可以看出来照片里的是一个人不是一条狗,但这个人具体长什么样你看不出来,”他说。 比如,Safari将仅显示机器附带的字体,而不显示任何自定义安装的字体。 隐藏网址 访问网站时,浏览器通常会发送用户刚才所浏览网页的网址。这个地址可以十分具体,可能导致其它问题,比如,会泄露您刚刚在电商网站上浏览的具体产品。 现在,Safari将只发送该网站的主域名。所以,以后,Safari发送的地址只会是“Amazon.com”而不会是亚马逊上的具体产品页面的地址。 关闭漏洞 有的广告公司企图通过使用某些技巧来绕过针对第三方cookies的限制。这个作弊方法可以让第三方cookies看起来像是用户当前访问网站的cookies。Safari目前正尝试解决这个问题。 以上变化将作为iPhone和iPad上的操作系统iOS 12的一部分更新于周二发布,至于Mac系列电脑,将通过Mojave系统更新在一周后发布。 多数安全措施仅限于苹果认为是跟踪器的cookies。这样做是为了减少误伤第三方合法cookies的可能性。 稿源:,稿件以及封面源自网络;
微软和苹果浏览器漏洞:不改变地址即可改变网页内容
讯 北京时间9月12日早间消息,据美国科技媒体The Register报道,安全研究人员发现Edge和Safari浏览器存在漏洞,恶意者可以利用漏洞发起攻击,在不改变地址的情况下改变网页内容。 安全研究人员拉菲·巴罗奇(Rafay Baloch)指出,微软已经用补丁修复漏洞,不过苹果行动迟缓,所以目前Safari仍然不安全。 通过漏洞,攻击者可以加载合法页面,让网页地址在地址栏显示,然后快速将页面内的代码转换为恶意代码,地址栏中的URL地址无需改变。这样一来,攻击者可以创建虚假登录屏幕或者其它表格,收集用户名、密码及其它数据,用户很难区分真假,他们会认为自己登录的页面是真实的。 浏览器的源码是封闭的,巴罗奇不清楚Edge和Safari存在该漏洞,但Chrome和火狐没有的原因。照他的猜测,浏览器决定何时显示页面地址可能是问题的关键。巴罗奇说:“不同的浏览器处理导航的手法并不一样,当页面正在加载时,Safari、Edge浏览器允许代码更新。浏览器可以允许地址栏在页面完全加载之后更新一次,这样就可以解决问题了。” 微软目前已经修复漏洞。6月2日巴罗奇向苹果提交报告,至今还没有修复。按照惯例有90天的时间窗口,巴罗奇说他会披露漏洞,但是在苹果发布补丁之前不会公开代码。 稿源:,稿件以及封面源自网络;
苹果公司解决 WebKit 框架中的 HSTS 用户跟踪问题
苹果公司为 WebKit 框架添加了新的保护措施,以防止可能滥用 HTTP 严格传输安全(HSTS)安全标准来跟踪用户。HSTS 提供了一种机制,通过这种机制,网站只能通过安全连接和直接浏览器访问安全版本所在的位置来声明自己。 基本上,当用户尝试连接到网站的不安全版本时,HSTS 强制浏览器转到网站的 HTTPS 版本。 由于 HSTS 告诉网络浏览器在被重定向到安全位置时记住并且将来自动去那里,可以创建一个“超级 cookie”,并且它可以被跨站点跟踪器读取。攻击者可以利用用户的 HSTS 缓存在设备上存储一位信息。 通过注册大量域并强制从受控子域中加载资源,攻击者“可以创建足够大的比特向量来唯一地表示每个站点访问者。” 在 HSTS 规范中描述了这个问题:“对于那些控制一个或多个 HSTS 主机的人来说,将信息编码成他们控制的域名是可能的,并且使得这些 UA 缓存这些信息当然是在注意 HSTS 的过程中 主办。 这些信息可以由其他主机通过巧妙构建和加载的网络资源来检索,导致 UA 发送查询到(变体)编码的域名。“ 缓解这种跟踪攻击并不容易,因为它需要平衡安全和隐私目标。 但是,由于 HSTS 的隐私风险仅作为理论追踪向量呈现,但尚未提供实际恶意滥用协议的证据,因此浏览器将遵守网站提供的所有 HSTS 指令。 苹果最近意识到这种理论攻击已经开始针对 Safari 用户进行部署。 这促使这家科技巨头开创了一个既保护安全网络流量又减少跟踪的解决方案。由于 HSTS 漏洞需要创建一个初始跟踪标识符并读取它,苹果建议对攻击双方进行缓解。 一方面,苹果公司修改了网络堆栈,只允许为加载的主机名或顶级域 + 1 设置 HSTS 状态。因此,跟踪器不能再有效地在大量不同的位上设置 HSTS,但需要单独 访问跟踪标识符中具有活动位的每个域。 WebKit 还限制了可以链接在一起的重定向数量,从而限制了可以设置的位数。另一方面,当动态 HSTS 导致一个不安全的第三方子资源从被阻塞的 cookie 升级到认证连接的域中加载时,苹果还修改了 WebKit 以忽略 HSTS 升级请求(并使用原始 URL)。 在内部回归测试,公共种子和最终的公共软件发布期间收集的遥测数据表明,上述两种缓解成功地阻止了 HSTS 超级 cookie 的创建和阅读,同时又不会使第一方内容的安全目标退步。 我们相信他们符合最佳实践,并保持 HSTS 提供的重要安全保护。 稿源:东方安全,封面源自网络;
PWNFEST 黑客大会:苹果 Safari 与微软 Edge 浏览器均被攻破
安全大会组织者Vangelis在推特上宣布,在2016年PWNFEST黑客大会上,盘古团队和JH Hackers联合破解了macOS Sierra系统下的Safari浏览器,并获得了Root权限。这次成功破解Safari也让团队获得了高达10万美元的赏金。盘古是一支来自中国的iOS越狱团队。 目前,如何破解Safari浏览器的细节还没有公布,不过团队成功的拿到了基本(8万美元)和额外(2万美元)奖励。目前,运行iOS10的iPhone7 Plus还没有被破解,如果能成功破解,可以获得18万美元赏金。 在PWNFEST大会上,Safari并不是唯一一个被攻破的浏览器,Windows10系统下的微软 Edge浏览器同样被攻破。谷歌Pixel智能手机也被破解,甚至可以实现远程代码运行,奖金12万美元。 稿源:IT之家, 封面:百度搜索