باگ تازه سافاری می تواند تاریخچه وب گردی و جزئیات حساب گوگل کاربر را فاش کند - قالب وبلاگ ها

به گزارش قالب وبلاگ ها، حفره امنیتی تازه مرورگر سافاری می تواند برای افشای تاریخچه مرورگر شما و احتمالا مؤلفه های هویتی تان مورد سوء استفاده قرار گیرد. این آسیب پذیری که به وسیله وب سایت FingerprintJS در روز شنبه آشکار شد، IndexedDB نام دارد که بخشی از موتور توسعه مرورگر وب WebKit اپل است. از IndexedDB می توان در حالت عادی برای ذخیره داده ها در رایانه مانند وب سایت هایی که بازدید نموده اید استفاده کرد. این فایل باعث می گردد وقتی بعدا به این وبسایت ها باز می گشت سریع تر بارگذاری شوند.

IndexedDB از سیاست های خاصی پیروی می نماید که این سیاست ها، به وب سایت ها اجازه نمی دهند که آزادانه با یکدیگر تعامل داشته باشند، مگر اینکه نام دامنه شان یکسان باشد. اگر بخواهیم به زبان ساده برای شما مثالی بزنیم؛ فکر کنید که در قرنطینه هستید و فقط اجازه دارید با اعضای خانواده خود معاشرت کنید. یا به عنوان مثالی دیگر، نتفلیکس نمی تواند به داده های ذخیره شده IndexedDB دسترسی پیدا کند تا متوجه گردد که شما با استفاده از یوتیوب به این سرویس خیانت نموده اید.

باید خاطر نشان کنیم که حفره امنیتی فاش شده به وسیله وب سایت FingerprintJS باعث می گردد که IndexedDB سیاست مبدأ را نقض نموده و داده هایی را که جمع آوری نموده در اختیار وب سایت هایی قرار دهد که از آن ها اطلاعاتی جمع آوری ننموده است. حتی بدتر از آن، بعضی از وب سایت ها مانند آن هایی که زیرمجموعه گوگل هستند از شناسه های منحصر به فرد کاربر در داده های ارائه شده به IndexedDB استفاده می نمایند. این بدان معناست که اگر به حساب گوگل خود وارد شده باشید، می توان از داده های جمع آوری شده برای شناسایی دقیق تاریخچه مرورگر و جزئیات حساب کاربری شما استفاده کرد و اگر به بیش از یک حساب وارد شده اید، سودجویان سایبری آن را هم تشخیص می دهند.

سایت FingerprintJS در گزارشی در این رابطه نوشته است: این نه تنها به این معنی است که وب سایت های غیرقابل اعتماد یا مخرب می توانند به هویت کاربر دسترسی پیدا نمایند، بلکه امکان پیوند چندین حساب جداگانه مورد استفاده به وسیله یک کاربر را هم فراهم می نمایند. تبی که در پس زمینه اجرا می گردد و به طور مداوم درباره پایگاه های داده از IndexedDB API پرس وجو می نماید، می تواند متوجه گردد که کاربر به شکل هم زمان در چه سایت های دیگری حضور دارد. FingerprintJS این باگ را در خاتمه نوامبر گذشته گزارش کرد، اما اپل هنوز آن را رفع ننموده است.

در این واقعیت که این حفره امنیتی اطلاعات و مؤلفه های هویتی بسیاری از کاربران را به خطر می اندازد شکی نیست، اما در حال حاضر کار زیادی نمی توانید درباره آن انجام دهید. قابلیت private tab سافاری می تواند آسیب های احتمالی را کاهش دهد، زیرا یک تب خصوصی نمی تواند بفهمد در تب دیگری چه اتفاقی می افتد. مرورگر در حالت خصوصی از اطلاعات شما محافظت نموده و مانع ردیابی بعضی وب سایت ها از جستجوی شما می گردد.

وب سایت FingerprintJS در ادامه توضیحات خود آورده: اگر از چندین وب سایت مختلف در یک تب [خصوصی] بازدید کنید، تمام پایگاه های داده ای که این وب سایت ها با آن ها تعامل دارند به همه وب سایت هایی که بعدا بازدید شده اند اطلاعات می دهند. کاربران مک می توانند با جابه جایی از مرورگر سافاری به مرورگر دیگری از این آسیب پذیری جلوگیری نمایند، اما افرادی که از سیستم عامل iOS یا iPadOS استفاده می نمایند در این باره شانس زیادی ندارند.

الزام اپل برای استفاده از WebKit روی همه مرورگرهای وب در سیستم های عامل iOS و iPad به این معنی است که حفره امنیتی IndexedDB بر همه مرورگرهای این سیستم ها تأثیر گذاشته است. با این حساب برترین کاری که می توانید انجام دهید این است که منتظر بمانید تا اپل با ارائه یک به روزرسانی مشکل را حل نماید، در غیر این صورت بهتر است به اندروید سوئیچ یا فقط از سافاری خارج شوید.

منبع: mashable