باگ جدید سافاری میتواند تاریخچه وبگردی و جزئیات حساب گوگل کاربر را فاش کند
حفرهی امنیتی جدید مرورگر سافاری میتواند برای افشای تاریخچهی مرورگر شما و احتمالا مؤلفههای هویتیتان مورد سوء استفاده قرار گیرد. این آسیبپذیری که توسط وبسایت FingerprintJS در روز شنبه آشکار شد، IndexedDB نام دارد که بخشی از موتور توسعه مرورگر وب WebKit اپل است. از IndexedDB میتوان در حالت عادی برای ذخیرهی دادهها در رایانه مانند وبسایتهایی که بازدید کردهاید استفاده کرد. این فایل باعث میشود وقتی بعدا به این وبسایتها بازمیگردید سریعتر بارگذاری شوند.
IndexedDB از سیاستهای خاصی پیروی میکند که این سیاستها، به وبسایتها اجازه نمیدهند که آزادانه با یکدیگر تعامل داشته باشند، مگر اینکه نام دامنهشان یکسان باشد. اگر بخواهیم به زبان ساده برای شما مثالی بزنیم؛ فکر کنید که در قرنطینه هستید و فقط اجازه دارید با اعضای خانواده خود معاشرت کنید. یا بهعنوان مثالی دیگر، نتفلیکس نمیتواند به دادههای ذخیرهشده IndexedDB دسترسی پیدا کند تا متوجه شود که شما با استفاده از یوتیوب به این سرویس خیانت کردهاید.
باید خاطر نشان کنیم که حفرهی امنیتی فاش شده توسط وبسایت FingerprintJS باعث میشود که IndexedDB سیاست مبدأ را نقض کرده و دادههایی را که جمعآوری کرده در اختیار وبسایتهایی قرار دهد که از آنها اطلاعاتی جمعآوری نکرده است. حتی بدتر از آن، برخی از وبسایتها مانند آنهایی که زیرمجموعهی گوگل هستند از شناسههای منحصربهفرد کاربر در دادههای ارائهشده به IndexedDB استفاده میکنند. این بدان معناست که اگر به حساب گوگل خود وارد شده باشید، میتوان از دادههای جمع آوری شده برای شناسایی دقیق تاریخچهی مرورگر و جزئیات حساب کاربری شما استفاده کرد و اگر به بیش از یک حساب وارد شدهاید، سودجویان سایبری آن را هم تشخیص میدهند.
سایت FingerprintJS در گزارشی در این رابطه نوشته است: «این نه تنها به این معنی است که وبسایتهای غیرقابل اعتماد یا مخرب میتوانند به هویت کاربر دسترسی پیدا کنند، بلکه امکان پیوند چندین حساب جداگانه مورد استفاده توسط یک کاربر را هم فراهم میکنند. تبی که در پسزمینه اجرا میشود و بهطور مداوم درباره پایگاههای داده از IndexedDB API پرسوجو میکند، میتواند متوجه شود که کاربر بهشکل همزمان در چه سایتهای دیگری حضور دارد.» FingerprintJS این باگ را در پایان نوامبر گذشته گزارش کرد، اما اپل هنوز آن را برطرف نکرده است.
در این واقعیت که این حفرهی امنیتی اطلاعات و مؤلفههای هویتی بسیاری از کاربران را به خطر میاندازد شکی نیست، اما در حال حاضر کار زیادی نمیتوانید دربارهی آن انجام دهید. قابلیت private tab سافاری میتواند آسیبهای احتمالی را کاهش دهد، زیرا یک تب خصوصی نمیتواند بفهمد در تب دیگری چه اتفاقی میافتد. مرورگر در حالت خصوصی از اطلاعات شما محافظت کرده و مانع ردیابی برخی وب سایتها از جستجوی شما میشود.
وبسایت FingerprintJS در ادامهی توضیحات خود آورده: «اگر از چندین وبسایت مختلف در یک تب [خصوصی] بازدید کنید، تمام پایگاههای دادهای که این وبسایتها با آنها تعامل دارند به همه وبسایتهایی که بعدا بازدید شدهاند اطلاعات میدهند.» کاربران مک میتوانند با جابهجایی از مرورگر سافاری به مرورگر دیگری از این آسیبپذیری جلوگیری کنند، اما افرادی که از سیستم عامل iOS یا iPadOS استفاده میکنند در این باره شانس زیادی ندارند.
الزام اپل برای استفاده از WebKit روی همهی مرورگرهای وب در سیستمهای عامل iOS و iPad به این معنی است که حفرهی امنیتی IndexedDB بر همهی مرورگرهای این سیستمها تأثیر گذاشته است. با این حساب بهترین کاری که میتوانید انجام دهید این است که منتظر بمانید تا اپل با ارائهی یک بهروزرسانی مشکل را حل کند، در غیر این صورت بهتر است به اندروید سوئیچ یا فقط از سافاری خارج شوید.
منبع: mashable