شرکت FingerprintJS روز جمعه، گزارشی در مورد باگی که در ورژن موبایل مرورگر سافاری و در سیستمعامل IOS 15 پیدا و ارائه کرد و در آن توضیح داد که عملکرد این باگ منتهی به ردگیری فعالیت اینترنتی کاربر و افشای هویت او میشود. باگ یافت شده در نحوه پیادهسازی رابط برنامهنویسی اپلیکیشن یا API وجود دارد. API یک میانافزار است و به اپلیکیشنهای مختلف اجازه صحبت کردن با یکدیگر، دادن درخواست برای ارسال و دریافت دیتا و اطلاعات را میدهد.
API ای که در باگ مربوط به مرورگر سافاری دخیل است، IndexedDB نام دارد و توسط اکثر مرورگرهای رایج پشتیبانی میشود. این باگ به دلیل اشتباه در پیادهسازی نادرست این دیتابیس برای مرورگر سافاری وجود دارد.
مرورگر سافاری و باگ افشای اطلاعات شخصی در IOS 15 و iPad OS 15
این باگ در هر سه سیستمعامل اپل IOS 15، iPadOS 15 و مک به صورت تصادفی به سایتها اجازه میدهد که بفهمند کاربر در Tab های دیگر مرورگر خود چه صفحات وبای را مرور میکند. این اشکال امکان پذیر است به دلیل اینکه سایتهایی مانند یوتیوب، Google Calendar، Google Keep از تکنولوژیهای اثرانگشتگذاری مرورگر (browser fingerprinting) و تشخیص هویت کاربر در پایگاه داده خود استفاده میکنند.
در نتیجه کاربران احراز هویت شده را میتوان شناسایی کرد زیرا سایتهای ذکر شده گوگل در بالا، دیتابیسی که شامل گوگل ID کاربر است را ایجاد میکنند و دیتابیس کاربر در همهی تبهای باز مرورگر مورد استفاده نادرست قرار میگیرد. به عبارت دیگر سیاست خودکار IndexedDB اجازه دسترسی به دیتابیس یک تب و دامنه را میدهد اما این باگ سافاری اجازه دسترسی به دیتابیس چندین دامنه و تب را در این مرورگر به IndexedDB داده است.
از آنجا که مدل اصلی کسبوکار گوگل، تبلیغات آنلاین است و نیاز دارد که کاربر خود را برای اهداف تبلیغاتی مشخص کند، از کاربر اطلاعاتی در این رابطه جمعآوری میکند و اثرانگشتگذاری مرورگر کاربر، گوگل ID و google analytic از رایجترین آنها است. این تکنولوژیها در کنار جمعآوری زیاد اطلاعات گاها میتوانند برای کاربر راحتی و تجربهای بهتری در استفاده از سرویسهای آنلاین فراهم کنند، اما اگر آسیبپذیری در دیتابیس یا API که با سرویسهای گوگل ارتباط برقرار میکنند کشف شود این میتواند به در خطر افتادن اطلاعات شخصی کاربر بینجامد.
شرکت FingerprintJS که این باگ را کشف کرد، با مرورگر سافاری 1000 سایت پر بازدید الکسا را برای این آسیبپذیری بررسی کرد و دریافت که 30 سایت با دیتابیس indexed در صفحه اول وب پیج خود درست رفتار نمیکنند و بدون هیچ احراز هویت و تعامل با کاربر، با دیتابیس او ارتباط برقرار میکنند. حتی حالت private mode نیز در مرورگر سافاری جلوی وقوع این آسیبپذیری را نمیگیرد.
آیا راهی برای جلوگیری از این باگ وجود دارد؟
برای جلوگیری از این باگ، فعلا راه زیادی برای کاربر در دسترس نیست. شما میتوانید به این لینک مراجعه کنید و از آسیبپذیر بودن مرورگر خود مطلع شوید. همچنین میتوانید JavaScript را به طور کامل در مرورگر غیرفعال کنید و فقط اجازه اجرای آن در وبسایت های مورد اطمینان را بدهید. همچنین میتوانید فعلا از مرورگرهای دیگر و جایگزین استفاده کنید. این باگ در 7 آذر به اپل گزارش شده است. بهترین راه برای متوقف کردن این باگ، ارائه آپدیت توسط اپل است که هنوز منتشر نشده.
توسط 
توسط 
توسط 
دیدگاهتان را بنویسید