嚇!連裝置的相機都會成為駭客入侵的跳板,不論是手機或電腦,都可能是駭客的目標。雖然蘋果在今年1月便修復了此漏洞,但很可能開啟了駭客攻擊新目標的濫觴,各位還是不能鬆懈哪……
#Safari
#漏洞
「iphone safari信任網站」的推薦目錄:
- 關於iphone safari信任網站 在 網路資訊雜誌 Facebook 的最讚貼文
- 關於iphone safari信任網站 在 楓葉綠茶 Facebook 的最讚貼文
- 關於iphone safari信任網站 在 楓葉綠茶 Facebook 的精選貼文
- 關於iphone safari信任網站 在 Re: [新聞] 密碼全盜光!快關iPhone「這設定」保命 的評價
- 關於iphone safari信任網站 在 iphone safari信任網站在PTT/Dcard完整相關資訊 - 星星公主 的評價
- 關於iphone safari信任網站 在 iphone safari信任網站在PTT/Dcard完整相關資訊 - 星星公主 的評價
- 關於iphone safari信任網站 在 mac os 的safari瀏覽mobile01 網站無法顯示圖片 的評價
- 關於iphone safari信任網站 在 iphone信任第三方在PTT/Dcard完整相關資訊 - 輕鬆健身去 的評價
- 關於iphone safari信任網站 在 iphone信任第三方在PTT/Dcard完整相關資訊 - 輕鬆健身去 的評價
iphone safari信任網站 在 楓葉綠茶 Facebook 的最讚貼文
如果你真的在乎你的個資的話,就不該關閉iPhone上Safari的「詐騙網站警告」。
今天網路輿論又毫不意外的爆炸了,這次矛頭指向的是蘋果。
簡單敘述一下,很多網站都有詳細文章,雖然他們都做了很糟糕的建議,導致我不得不在一個遊戲類粉專發這篇文。
有網友指出蘋果在Safari的隱私權政策中表示,預設開啟的「詐騙網站警告」將會把使用者的IP和網址回傳給 「Google 安全瀏覽」和「騰訊安全瀏覽」,用以檢測是否為詐騙網站。
而且根據不具名網路部落客指出,在原始碼中,這兩個安全瀏覽會同時接收到資料。所以就結論而言,你的瀏覽紀錄、個資都已經被中共知曉了。
換瀏覽器也沒用哦,因為iOS上全部的瀏覽器都是基於Safari去做的,而唯一的解法就是關閉「詐騙網站警告」。
那些文章大概都是這樣寫的,我們來看看:
回傳IP,打勾。
回傳網址,打勾。
回傳給騰訊,打勾打勾打勾。
結論:蘋果是中共同路人。
嗯,全球大炎上,可以把蘋果烤來吃了。
我要再重複我的第一句話:
如果你真的在乎你的個資的話,就不該關閉iPhone上Safari的「詐騙網站警告」。
真的,誰關誰白癡。
接下來是工程師語言,看不懂請自己跳到結論。
首先,Safari是基於Webkit引擎開發的網頁瀏覽器,而Webkit是iOS唯一的網頁引擎。
這個引擎本身是開源的,你可以在很多地方找到它,比方說Github。
而一切的問題,就是出在Webkit的安全瀏覽警示中。
根據原始碼SafeBrowsingWarningCocoa.mm Line:40開始的那串。我們可以看到Webkit確實會去取得騰訊和Google的安全中心網址。
但是,這裡的判斷式是用二擇一的方式。
判斷的方式是根據SSBServiceLookupResult中的provider,如果是騰訊,就傳騰訊,如果不是,就傳Google。
至於寫入provider的方式和次數,沒寫,十之八九是封在系統框架中。
是根據手機語言、使用者IP、還是手機發售地來判斷,在蘋果說明之前都不會有人知道。
隱私權政策確實有寫到IP和網址「可能」會傳送給「Google 安全瀏覽」和「騰訊安全瀏覽」。
我個人對這個「可能」的解讀是,蘋果只是將隱私權政策整合成一個版本。
如果以騰訊的加入進程來看,騰訊安全中心更像是一個在中國的補充,畢竟在中國連不到Google的安全庫。
考慮到這點的話,這邊的「可能」指的應該是「根據使用者連網IP的不同,可能會使用不同的安全提供商」。
其中一個證據就是,這個SSBServiceLookupResult在iOS11之前是不存在的,而SafeBrowsingWarningCocoa.mm是在2018年11月15日被新增的。
其前身SafeBrowsingResultCocoa.mm則是在2018年11月6日正式加入對騰訊安全中心的判斷。
這個時期是iOS 12,蘋果特別強調Safari安全性的那段時間。
但,對,即便這是有根據的猜測,這依然是我猜的。
所以為什麼我會說誰關誰白癡?
不知道大家還記不記得以前的假登入頁面和有毒的跳窗廣告?
前者是透過設計和官方很像的登入畫面來竊取使用者的帳密。
後者則是簡單直白的網頁投毒。
而這個「詐騙網站警告」的功能,就是在防範這兩件事情,他可以在你點開網站的同時,確保你不會真的立刻連上並且受騙或中毒。
正是得益於這項功能的普及,讓有心人士無法透過這招來惡意詐財,才使得我們能夠更放心的在網路上亂逛。
他在某種意義上跟防毒軟體是一樣的。
而那些文章叫你關掉的意思其實就等同於:
為了防止一個「不知道是真是假」的個資洩漏事件,直接把自己的個資門戶大開。
讓任何詐騙業者都可以隨便透過一封詐騙簡訊或在FB廣告拉一個超便宜商品騙你進去,再用假登入頁面、假刷卡頁面或直接下毒的方式控制你的帳號或手機本體。
這才叫個資被竊取,好嗎?
所以,懶人包在這裡。
1. 蘋果在這件事情上有沒有跪中國→可能有,可能沒有。
港警地圖那件事我個人傾向有,但此案我認為沒有。
2. 怎麼辦,關掉「詐騙網站警告」嗎?→不准關,關了你才真的會被個資大爆射。
3. 防人之心確實不可無,反對企業向中共低頭妥協是大家普遍的共識。
但如果你連最基礎的個資合理授權都無法信任,那我想你還是別用手機信用卡這些會存放個資的東西了。
再說,中共要知道你的網路行動軌跡,跟本不用那麼麻煩。
畢竟,我們台灣就是一堆人死愛用小米跟華為手機。
不要說網路紀錄,你幾點幾分開了什麼app、打了什麼字,原則上他們都能log到。
最後順帶一提,其實前幾天爆出來的台北市教育局購置悠遊卡販賣機在個資爭議上也是同樣的道理。
我沒講不代表我不關心,只是這個專頁不適合去提這些事而已。
補幾個不知道有沒有機會增加觸及的tag
#Safari #資安 #個資洩漏 #蘋果 #騰訊
#詐騙網站警告
---
最後更新一下
有高手反解了SafariSafeBrowsing.framework,得到的結論是:
「只要你的iPhone地區不是設定為中國,就不會有任何影響。」
來源在這裡:https://hiraku.tw/2019/10/4963/
還有老外比他更早解出來,雖然解出來的內容不知道為什麼不太一樣,但結論是相同的。
來源:https://news.ycombinator.com/item?id=21242628
大概是這樣,既然有結論,那我內文應該不會再改了。
感謝大家提供的補充資料。
iphone safari信任網站 在 楓葉綠茶 Facebook 的精選貼文
如果你真的在乎你的個資的話,就不該關閉iPhone上Safari的「詐騙網站警告」。
今天網路輿論又毫不意外的爆炸了,這次矛頭指向的是蘋果。
簡單敘述一下,很多網站都有詳細文章,雖然他們都做了很糟糕的建議,導致我不得不在一個遊戲類粉專發這篇文。
有網友指出蘋果在Safari的隱私權政策中表示,預設開啟的「詐騙網站警告」將會把使用者的IP和網址回傳給 「Google 安全瀏覽」和「騰訊安全瀏覽」,用以檢測是否為詐騙網站。
而且根據不具名網路部落客指出,在原始碼中,這兩個安全瀏覽會同時接收到資料。所以就結論而言,你的瀏覽紀錄、個資都已經被中共知曉了。
換瀏覽器也沒用哦,因為iOS上全部的瀏覽器都是基於Safari去做的,而唯一的解法就是關閉「詐騙網站警告」。
那些文章大概都是這樣寫的,我們來看看:
回傳IP,打勾。
回傳網址,打勾。
回傳給騰訊,打勾打勾打勾。
結論:蘋果是中共同路人。
嗯,全球大炎上,可以把蘋果烤來吃了。
我要再重複我的第一句話:
如果你真的在乎你的個資的話,就不該關閉iPhone上Safari的「詐騙網站警告」。
真的,誰關誰白癡。
接下來是工程師語言,看不懂請自己跳到結論。
首先,Safari是基於Webkit引擎開發的網頁瀏覽器,而Webkit是iOS唯一的網頁引擎。
這個引擎本身是開源的,你可以在很多地方找到它,比方說Github。
而一切的問題,就是出在Webkit的安全瀏覽警示中。
根據原始碼SafeBrowsingWarningCocoa.mm Line:40開始的那串。我們可以看到Webkit確實會去取得騰訊和Google的安全中心網址。
但是,這裡的判斷式是用二擇一的方式。
判斷的方式是根據SSBServiceLookupResult中的provider,如果是騰訊,就傳騰訊,如果不是,就傳Google。
至於寫入provider的方式和次數,沒寫,十之八九是封在系統框架中。
是根據手機語言、使用者IP、還是手機發售地來判斷,在蘋果說明之前都不會有人知道。
隱私權政策確實有寫到IP和網址「可能」會傳送給「Google 安全瀏覽」和「騰訊安全瀏覽」。
我個人對這個「可能」的解讀是,蘋果只是將隱私權政策整合成一個版本。
如果以騰訊的加入進程來看,騰訊安全中心更像是一個在中國的補充,畢竟在中國連不到Google的安全庫。
考慮到這點的話,這邊的「可能」指的應該是「根據使用者連網IP的不同,可能會使用不同的安全提供商」。
其中一個證據就是,這個SSBServiceLookupResult在iOS11之前是不存在的,而SafeBrowsingWarningCocoa.mm是在2018年11月15日被新增的。
其前身SafeBrowsingResultCocoa.mm則是在2018年11月6日正式加入對騰訊安全中心的判斷。
這個時期是iOS 12,蘋果特別強調Safari安全性的那段時間。
但,對,即便這是有根據的猜測,這依然是我猜的。
所以為什麼我會說誰關誰白癡?
不知道大家還記不記得以前的假登入頁面和有毒的跳窗廣告?
前者是透過設計和官方很像的登入畫面來竊取使用者的帳密。
後者則是簡單直白的網頁投毒。
而這個「詐騙網站警告」的功能,就是在防範這兩件事情,他可以在你點開網站的同時,確保你不會真的立刻連上並且受騙或中毒。
正是得益於這項功能的普及,讓有心人士無法透過這招來惡意詐財,才使得我們能夠更放心的在網路上亂逛。
他在某種意義上跟防毒軟體是一樣的。
而那些文章叫你關掉的意思其實就等同於:
為了防止一個「不知道是真是假」的個資洩漏事件,直接把自己的個資門戶大開。
讓任何詐騙業者都可以隨便透過一封詐騙簡訊或在FB廣告拉一個超便宜商品騙你進去,再用假登入頁面、假刷卡頁面或直接下毒的方式控制你的帳號或手機本體。
這才叫個資被竊取,好嗎?
所以,懶人包在這裡。
1. 蘋果在這件事情上有沒有跪中國→可能有,可能沒有。
港警地圖那件事我個人傾向有,但此案我認為沒有。
2. 怎麼辦,關掉「詐騙網站警告」嗎?→不准關,關了你才真的會被個資大爆射。
3. 防人之心確實不可無,反對企業向中共低頭妥協是大家普遍的共識。
但如果你連最基礎的個資合理授權都無法信任,那我想你還是別用手機信用卡這些會存放個資的東西了。
再說,中共要知道你的網路行動軌跡,跟本不用那麼麻煩。
畢竟,我們台灣就是一堆人死愛用小米跟華為手機。
不要說網路紀錄,你幾點幾分開了什麼app、打了什麼字,原則上他們都能log到。
最後順帶一提,其實前幾天爆出來的台北市教育局購置悠遊卡販賣機在個資爭議上也是同樣的道理。
我沒講不代表我不關心,只是這個專頁不適合去提這些事而已。
補幾個不知道有沒有機會增加觸及的tag
#Safari #資安 #個資洩漏 #蘋果 #騰訊
#詐騙網站警告
-\-\-
最後更新一下
有高手反解了SafariSafeBrowsing.framework,得到的結論是:
「只要你的iPhone地區不是設定為中國,就不會有任何影響。」
來源在這裡:https://hiraku.tw/2019/10/4963/
還有老外比他更早解出來,雖然解出來的內容不知道為什麼不太一樣,但結論是相同的。
來源:https://news.ycombinator.com/item?id=21242628
大概是這樣,既然有結論,那我內文應該不會再改了。
感謝大家提供的補充資料。
iphone safari信任網站 在 iphone safari信任網站在PTT/Dcard完整相關資訊 - 星星公主 的推薦與評價
提供iphone safari信任網站相關PTT/Dcard文章,想要了解更多手機彈跳視窗、手機如何封鎖特定網站android、限制使用時間app ios有關星座與運勢文章或書籍, ... ... <看更多>
iphone safari信任網站 在 iphone safari信任網站在PTT/Dcard完整相關資訊 - 星星公主 的推薦與評價
提供iphone safari信任網站相關PTT/Dcard文章,想要了解更多手機彈跳視窗、手機如何封鎖特定網站android、限制使用時間app ios有關星座與運勢文章或書籍, ... ... <看更多>
iphone safari信任網站 在 Re: [新聞] 密碼全盜光!快關iPhone「這設定」保命 的推薦與評價
2021年11/28已發現這個Webkit bug,FingerprintJS回報給蘋果。2022年1/17蘋果標記為已
解決(resolved),可是目前他們測試iOS和MacOS的Safari還是會出現此問題。
此外,台灣媒體報導都說在更新釋出前只能關閉JS,但忽略原文還有一句「僅在信任的網站
開啟JS」,沒JS是要怎麼活啦。
FingerprintJS網站的原文做了demo演示這個bug,如果不怕死可以用iPhone Safari去他們
的網站看有多少個人資訊會洩漏:
https://youtu.be/Z7dPeGpCl8s
至於會不會洩漏密碼? 先看原理
FingerprintJS原文提及
"Safari 15’s implementation of the IndexedDB API that lets any website track yo
ur internet activity and even reveal your identity"
「Safari 15的IndexedDB API實作可能會讓網站得以追蹤你的網路活動甚至是真實身分。」
再引用網易科技的報導解釋原理:
「IndexedDB遵守同源策略,該策略限制一個源與其他源收集的數據交互。 本質上,只有生
成數據的網站才能存取。舉例來說,如果您在某個頁籤開啟電子郵件帳戶,然後在另一個頁
籤中開啟惡意網頁,同源策略會阻止惡意頁面查看和干預使用者的電子郵件。」
「蘋果在Safari 15中應用IndexedDB API違反了同源策略。 當網站與Safari中的資料庫交
互時,在同一瀏覽器會話(session)中的所有其他活動框架、頁籤和視窗都會創建一個同名
的新(空)資料庫。 」
簡單來說,Safari存取IndexedDB的行為不合規範,所有視窗共用同一個資料庫,導致A網站
能夠看到另一個B網站所建立的資料庫名稱。
這可能會導致資料外洩,例如因Google帳戶API所產生的識別ID,被追蹤甚至還原出用戶身
分。更糟糕的是網頁可在背景蒐集使用者資料而不被察覺。
此外,有些熱門網站設計不良,存取IndexedDB不需使用者輸入密碼驗證。
又,由於iOS瀏覽器app全使用它家的引擎之故,每款瀏覽器都存在洩漏風險,不像macOS起
碼還可以換其他瀏覽器躲避。
但這不代表Safari密碼會被偷光,起碼FingerprintJS原文沒有推論到這裡。只能說個人資
料有風險,而且不易察覺。
且對蘋果來說這麼重視隱私的公司,這種bug不修說不過去。
參考資料
Martin Bajanik. 2022/1/15. Exploiting IndexedDB API information leaks in Safari
15. FingerprintJS.
https://reurl.cc/GoxGgA
网易科技报道。2022/1/18。苹果Safari浏览器被曝漏洞 或泄露浏览活动和谷歌账户信息。
网易。https://reurl.cc/QjLVk2
--
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 111.255.233.76 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/MobileComm/M.1642510388.A.132.html
※ 編輯: ivon852 (111.255.233.76 臺灣), 01/18/2022 20:54:10
... <看更多>