Firefox 系瀏覽器 IndexedDB 隱私漏洞恐成跨網站指紋,Tor Browser 也受影響
漏洞發現與影響範圍
裝置指紋與詐騙偵測資安公司 Fingerprint 揭露,所有 Firefox 系瀏覽器(包括 Tor Browser)都受到同一個 IndexedDB 隱私漏洞影響。該漏洞不僅影響一般 Firefox 系瀏覽器,也波及了原本主打隱私隔離設計的 Tor Browser。
漏洞技術細節
問題發生在 IndexedDB 資料庫清單查詢功能的回傳順序。研究人員解釋,列出 IndexedDB 資料庫資訊的 API 所回傳的資料庫清單順序,意外把瀏覽器內部儲存結構的排列差異暴露成可被觀察的指紋訊號。網站只要建立一組特定的查詢,即可推導出一個穩定且可重現的瀏覽器程序識別值。
跨網站追蹤風險
此漏洞允許網站在沒有 Cookie 或其他共用儲存機制的情況下,辨識是否為同一個執行中的瀏覽器實體。這意味著攻擊者可以進行跨站點指紋辨識(Cross-site Fingerprinting),即使使用無痕模式或私密瀏覽模式,也可能被跨網站追蹤。對於 Tor Browser 而言,其「新建標識」功能本意是切斷前後活動的關聯性,但此漏洞意味著在瀏覽器程序未重啟前,網站仍可能將不同階段的活動串聯起來。
建議措施
資安專家建議立即更新瀏覽器版本,或透過完全關閉程序來重置指紋,以減少被追蹤的風險。