باگ جدید سافاری می‌تواند تاریخچه و جزئیات حساب گوگل کاربران را فاش کند


دانش و فناوری

دوشنبه 27 دی 1400


The-new-Safari-bug-could-reveal-users-Google-Account-history-and-details

حفره‌ی امنیتی جدید مرورگر سافاری می‌تواند برای افشای تاریخچه‌ی مرورگر شما و احتمالا مؤلفه‌های هویتی‌تان مورد سوء استفاده قرار گیرد. این آسیب‌پذیری که توسط وب‌سایت FingerprintJS در روز شنبه آشکار شد، IndexedDB نام دارد که بخشی از موتور توسعه مرورگر وب WebKit اپل است. از IndexedDB می‌توان در حالت عادی برای ذخیره‌ی داده‌ها در رایانه مانند وب‌سایت‌هایی که بازدید کرده‌اید استفاده کرد. این فایل باعث می‌شود وقتی بعدا به این وبسایت‌ها باز‌می‌گردید سریع‌تر بارگذاری شوند.

IndexedDB از سیاست‌های خاصی پیروی می‌کند که این سیاست‌ها، به وب‌سایت‌ها اجازه نمی‌دهند که آزادانه با یکدیگر تعامل داشته باشند، مگر اینکه نام دامنه‌شان یکسان باشد. اگر بخواهیم به زبان ساده برای شما مثالی بزنیم؛ فکر کنید که در قرنطینه هستید و فقط اجازه دارید با اعضای خانواده خود معاشرت کنید. یا به‌عنوان مثالی دیگر، نتفلیکس نمی‌تواند به داده‌های ذخیره‌شده IndexedDB دسترسی پیدا کند تا متوجه شود که شما با استفاده از یوتیوب به این سرویس خیانت کرده‌اید.

باید خاطر نشان کنیم که حفره‌ی امنیتی فاش شده توسط وب‌سایت FingerprintJS باعث می‌شود که IndexedDB سیاست مبدأ را نقض کرده و داده‌هایی را که جمع‌آوری کرده در اختیار وب‌سایت‌هایی قرار دهد که از آن‌ها اطلاعاتی جمع‌آوری نکرده است. حتی بدتر از آن، برخی از وب‌سایت‌ها مانند آن‌هایی که زیرمجموعه‌ی گوگل هستند از شناسه‌های منحصر‌به‌فرد کاربر در داده‌های ارائه‌شده به IndexedDB استفاده می‌کنند. این بدان معناست که اگر به حساب گوگل خود وارد شده باشید، می‌توان از داده‌های جمع آوری شده برای شناسایی دقیق تاریخچه‌ی مرورگر و جزئیات حساب کاربری شما استفاده کرد و اگر به بیش از یک حساب وارد شده‌اید، سودجویان سایبری آن را هم تشخیص می‌دهند.

سایت FingerprintJS در گزارشی در این رابطه نوشته است: «این نه تنها به این معنی است که وب‌سایت‌های غیرقابل اعتماد یا مخرب می‌توانند به هویت کاربر دسترسی پیدا کنند، بلکه امکان پیوند چندین حساب جداگانه مورد استفاده توسط یک کاربر را هم فراهم می‌کنند. تبی که در پس‌زمینه اجرا می‌شود و به‌طور مداوم درباره پایگاه‌های داده از IndexedDB API پرس‌وجو می‌کند، می‌تواند متوجه شود که کاربر به‌شکل هم‌زمان در چه سایت‌های دیگری حضور دارد.» FingerprintJS این باگ را در پایان نوامبر گذشته گزارش کرد، اما اپل هنوز آن را برطرف نکرده است.

در این واقعیت که این حفره‌ی امنیتی اطلاعات و مؤلفه‌های هویتی بسیاری از کاربران را به خطر می‌اندازد شکی نیست، اما در حال حاضر کار زیادی نمی‌توانید درباره‌ی آن انجام دهید. قابلیت private tab سافاری می‌تواند آسیب‌های احتمالی را کاهش دهد، زیرا یک تب خصوصی نمی‌تواند بفهمد در تب دیگری چه اتفاقی می‌افتد. مرورگر در حالت خصوصی از اطلاعات شما محافظت کرده و مانع ردیابی برخی وب سایت‌ها از جستجوی شما می‌شود.

وب‌سایت FingerprintJS در ادامه‌ی توضیحات خود آورده: «اگر از چندین وب‌سایت مختلف در یک تب [خصوصی] بازدید کنید، تمام پایگاه‌های داده‌ای که این وب‌سایت‌ها با آن‌ها تعامل دارند به همه وب‌سایت‌هایی که بعدا بازدید شده‌اند اطلاعات می‌دهند.» کاربران مک می‌توانند با جابه‌جایی از مرورگر سافاری به مرورگر دیگری از این آسیب‌پذیری جلوگیری کنند، اما افرادی که از سیستم عامل iOS یا iPadOS استفاده می‌کنند در این باره شانس زیادی ندارند.

الزام اپل برای استفاده از WebKit روی همه‌ی مرورگرهای وب در سیستم‌‌های عامل‌ iOS و iPad به این معنی است که حفره‌ی امنیتی IndexedDB بر همه‌ی مرورگرهای این سیستم‌ها تأثیر گذاشته است. با این حساب بهترین کاری که می‌توانید انجام دهید این است که منتظر بمانید تا اپل با ارائه‌ی یک به‌روزرسانی مشکل را حل کند، در غیر این صورت بهتر است به اندروید سوئیچ یا فقط از سافاری خارج شوید.

منبع : digikalamag