به گزارش موبوایران، شرکت امنیتی FingerprintJS در گزارشی که به تازگی منتشر کرده، خبر از یک ایراد در نسخه iOS ۱۵ مرورگر موبایل سافاری داده است. در این گزارش آمده که این باگ سافاری به هر وب سایتی اجازه میدهد، فعالیت اینترنتی شما را ردیابی و حتی هویت شما را فاش کند.
یک API توسط برنامه نویسان برای اتصال بخشهایی از نرم افزار به نرم افزارهای دیگر استفاده میشود و توسعه برنامهها را آسانتر میکند. یکی از این API ها، به نام IndexedDB، توسط اکثر مرورگرهای اصلی پشتیبانی میشود و این گزارش میگوید که مقدار قابل توجهی از داده را در خود نگه میدارد.
این باگ در iOS ۱۵، iPadOS ۱۵ و macOS، به وبسایتها به صورت تصادفی اجازه میدهد تا بدانند کاربر از چه سایتهای دیگری در پنجرهها و تبهای دیگر بازدید میکند. این اتفاق امکان پذیر است، زیرا سایتهایی مانند YouTube، Google Calendar و Google Keep از "شناسههای منحصر به فرد مخصوص کاربر" در نام پایگاه داده خود استفاده میکنند. در نتیجه، کاربران احراز هویت شده را میتوان شناسایی کرد.
شناسه کاربری گوگل، مهاجم را به انبوهی از دادههای شخصی هدایت میکند. همچنین در ترکیب با APIهای گوگل، تصویر نمایه شما برای یک هکر به نمایش در میآید. همچنین این باگ میتواند به مهاجم کمک کند تا اطلاعات شخصی بسیار بیشتری از شما را بدست آورد و چند حساب جداگانه متعلق به یک کاربر را باز کند.
FingerprintJS با بررسی ۱۰۰۰ سایت برتر از دید الکسا دریافت که ۳۰ سایت با پایگاههای داده نمایه شده، مستقیماً در صفحه اصلی خود، بدون هیچ گونه تعامل یا احراز هویت مورد نیاز کاربر، تعامل دارند؛ حتی اگر شخص از حالت خصوصی سافاری استفاده کند.
آیا راهی برای جلوگیری از این اتفاق وجود دارد؟
اگر یک کاربر سافاری از iOS ۱۵ یا iPadOS ۱۵ استفاده میکند، کار زیادی برای مقابله با این باگ نمیتواند انجام دهد. یک پیشنهاد این است که کاربر همه کدهای جاوا اسکریپت را به طور پیش فرض مسدود کند و فقط به سایتهایی که ۱۰۰ درصد مورد اعتماد هستند اجازه فعالیت دهد. همچنین کاربران مک میتوانند مرورگرها را برای فرار از این باگ تغییر دهند.
این اشکال توسط FingerprintJS به WebKit Bug Tracker در ۲۸ نوامبر ۲۰۲۱ با عنوان باگ ۲۳۳۵۴۸ گزارش شده است.