نشت اطلاعات کاربران سافاری با باگ iOS ۱۵

طبق گزارش شرکت امنیتی FingerprintJS، باگ مرورگر سافاری اطلاعات شخصی کاربران آیفون، آی‌پد و مک را فاش می‌ کند.

خبر را برای من بخوان

به گزارش موبوایران، شرکت امنیتی FingerprintJS در گزارشی که به تازگی منتشر کرده، خبر از یک ایراد در نسخه iOS ۱۵ مرورگر موبایل سافاری داده است. در این گزارش آمده که این باگ سافاری به هر وب سایتی اجازه می‌دهد، فعالیت اینترنتی شما را ردیابی و حتی هویت شما را فاش کند.

یک API توسط برنامه نویسان برای اتصال بخش‌هایی از نرم افزار به نرم افزار‌های دیگر استفاده می‌شود و توسعه برنامه‌ها را آسان‌تر می‌کند. یکی از این API ها، به نام IndexedDB، توسط اکثر مرورگر‌های اصلی پشتیبانی می‌شود و این گزارش می‌گوید که مقدار قابل توجهی از داده را در خود نگه می‌دارد.

این باگ در iOS ۱۵، iPadOS ۱۵ و macOS، به وب‌سایت‌ها به صورت تصادفی اجازه می‌دهد تا بدانند کاربر از چه سایت‌های دیگری در پنجره‌ها و تب‌های دیگر بازدید می‌کند. این اتفاق امکان پذیر است، زیرا سایت‌هایی مانند YouTube، Google Calendar و Google Keep از "شناسه‌های منحصر به فرد مخصوص کاربر" در نام پایگاه داده خود استفاده می‌کنند. در نتیجه، کاربران احراز هویت شده را می‌توان شناسایی کرد.

شناسه کاربری گوگل، مهاجم را به انبوهی از داده‌های شخصی هدایت می‌کند. همچنین در ترکیب با API‌های گوگل، تصویر نمایه شما برای یک هکر به نمایش در می‌آید. همچنین این باگ می‌تواند به مهاجم کمک کند تا اطلاعات شخصی بسیار بیشتری از شما را بدست آورد و چند حساب جداگانه متعلق به یک کاربر را باز کند.

FingerprintJS با بررسی ۱۰۰۰ سایت برتر از دید الکسا دریافت که ۳۰ سایت با پایگاه‌های داده نمایه شده، مستقیماً در صفحه اصلی خود، بدون هیچ گونه تعامل یا احراز هویت مورد نیاز کاربر، تعامل دارند؛ حتی اگر شخص از حالت خصوصی سافاری استفاده کند.

آیا راهی برای جلوگیری از این اتفاق وجود دارد؟

اگر یک کاربر سافاری از iOS ۱۵ یا iPadOS ۱۵ استفاده می‌کند، کار زیادی برای مقابله با این باگ نمی‌تواند انجام دهد. یک پیشنهاد این است که کاربر همه کد‌های جاوا اسکریپت را به طور پیش فرض مسدود کند و فقط به سایت‌هایی که ۱۰۰ درصد مورد اعتماد هستند اجازه فعالیت دهد. همچنین کاربران مک می‌توانند مرورگر‌ها را برای فرار از این باگ تغییر دهند.

این اشکال توسط FingerprintJS به WebKit Bug Tracker در ۲۸ نوامبر ۲۰۲۱ با عنوان باگ ۲۳۳۵۴۸ گزارش شده است.

برچسب ها :