在苹果 Safari 15的 IndexedDB API 实现中放入的一个软件漏洞可能被恶意网站利用，以追踪用户在网络浏览器中的在线活动，更糟糕的是，它还可能泄露用户的身份。

2021年11月28日，防欺诈保护软件公司 FingerprintJS 向 iPhone 制造商报告了这一漏洞。

IndexedDB 是 web 浏览器提供的一个低级 JavaScript 应用程序编程接口(API) ，用于管理结构化数据对象(如文件和 blob)的 NoSQL 数据库。

“像大多数 web 存储解决方案一样，IndexedDB 遵循同源策略,”Mozilla 在其 API 文档中指出。”因此，尽管您可以访问域内存储的数据，但不能访问跨不同域的数据。”

同源是一种基本的安全机制，它确保从不同的来源(即方案(协议)、主机(域)和 URL 的端口号等)检索到的资源彼此隔离。这实际上意味着“ http [ : ]/example [ . ]Com/”和“ https [ : ]//example [ . ]Com/”并不是同一个来源，因为它们使用不同的方案。

通过限制从一个来源加载的脚本与另一个来源的资源进行交互的方式，用于隔离潜在的恶意脚本，通过预防流氓网站运行任意的 JavaScript 代码来读取来自另一个域的数据（比如电子邮件服务），来减少潜在的攻击载体。

但是 Safari 在 iOS、 iPadOS 和 macOS 中处理 IndexedDB API 的情况并非如此。

“在 macOS 上的 Safari 15，以及 iOS 和 iPadOS 15上的所有浏览器中，IndexedDB API 都违反了同源政策,”Martin Bajanik 在一份报告中写道。每当网站与数据库交互时，在同一浏览器会话中的所有其他活动框架、标签和窗口中都会创建一个具有相同名称的新(空)数据库

这种侵犯隐私的后果是，它允许网站知晓了用户在不同的选项卡或窗口中访问的其他网站，更不用说准确识别像 YouTube 和 Google Calendar 这样的谷歌服务上的用户，因为这些网站创建了 IndexedDB 数据库，其中包括经过验证的谷歌用户 id，这是一个识别单个谷歌账户的内部标识符。

“这不仅意味着不受信任或恶意的网站可以知道用户的身份，而且还可以知道同一用户使用的多个独立账户,”Bajanik 说。

...