باگ مرورگر سافاری افشاگر اطلاعات کاربران شد

بر اساس اعلام وبسایت 9to5Mac، موسسه امنیتی FingerprintJS با انتشار گزارشی در روز جمعه به کشف یک باگ جدید مرورگر موبایلی سافاری در سیستم‌عامل iOS 15 اشاره کرد. در این گزارش خاطرنشان شده که باگ مذکور به کلیه وبسایت‌ها امکان می‌دهد تا فعالیت اینترنتی کاربران را ردیابی نموده و حتی به هویت آنها پی ببرند.

«بازتاب»؛ مهتاب جهاندار_باگ شناسایی شده در رابط برنامه‌نویسی اپلیکیشن (API) که توسط اکثر مرورگرها پشتیبانی شده و مورد استفاده قرار می‌گیرد؛ می‌تواند جهت دستیابی به اطلاعات متعددی در رابطه با کاربران به‌کار گرفته شود.

برنامه‌نویسان به منظور اتصال بخش‌هایی از یک نرم‌افزار به نرم‌افزارهای دیگر و توسعه هرچه آسان‌تر برنامه‌ها از یک API استفاده می‌کنند. یکی از این APIها با نام IndexedDB توسط اکثر مرورگرهای اصلی پشتیبانی شده و بر اساس اعلام گزارش، مقدار قابل‌توجهی از داده‌ها را در خود نگهداری می‌کند.

باگ موجود در سیستم‌عامل‌های iOS 15، iPadOS 15 و macOS به وبسایت‌های تصادفی امکان می‌دهد تا از عناوین سایت‌های بازدید شده توسط کاربر در سایر پنجره‌ها و تب‌ها مطلع شوند. چنین سناریویی امکان‌پذیر است؛ زیرا سایت‌هایی مانند Google Calendar، یوتیوب و Google Keep در اسامی پایگاه داده خود از شناسه‌های منحصربه‌فرد مخصوص کاربر استفاده می‌کنند. در نتیجه کاربران احراز هویت شده قابل شناسایی خواهند بود؛ چرا که سایت‌های فوق پایگاه داده‌هایی را ایجاد می‌کنند که شامل شناسه کاربری گوگل متعلق به کاربر است و دیتابیس‌ها برای تمامی اکانت‌های مورد استفاده باز می‌شوند.

شناسه کاربری گوگل نهایتا شخص مهاجم را به‌سوی انبوهی از داده‌های شخصی کاربران هدایت می‌کند. هر یک از این شناسه‌ها می‌توانند برای شناسایی یک اکانت گوگلی خاص به‌کارگیری شده و در ترکیب با APIهای گوگل، حداقل تصویر پروفایل شما را در اختیار هکر قرار دهند. همچنین شناسه کاربری گوگل به شخص مهاجم کمک می‌کند تا اطلاعات شخصی بسیار بیش‌تری را کسب نموده و چندین اکانت مجزای متعلق به یک کاربر را شناسایی کند.

متاسفانه دسترسی به اطلاعات شخصی کاربر نیازمند انجام هیچ‌گونه اقدام خاصی نبوده و بر اساس اعلام گزارش، زبانه یا پنجره‌ای که در پس‌زمینه اجرا می‌شود و پرس‌وجوهای مربوط به دیتابیس‌های موجود را به‌طور مداوم برای IndexedDB API ارسال می‌کند؛ می‌تواند از عناوین سایر وبسایت‌های بازدید شده توسط کاربر به‌صورت آنی مطلع شود. از سوی دیگر وبسایت‌ها می‌توانند هر سایتی را در یک iframe یا پنجره پاپ‌آپ باز کرده و قابلیت دریافت اطلاعات مبتنی بر IndexedDB API را برای آن سایت خاص فعال نمایند.

موسسه امنیتی FingerprintJS فهرست 1000 سایت برتر پربازدید بر اساس رتبه‌بندی الکسا را بررسی کرد و به وجود 30 مورد تعامل با دیتابیس‌های نمایه شده روی صفحه اصلی آنها پی برد؛ در حالی‌که به تعامل با کاربر یا احراز هویت از جانب وی هیچ نیازی نبود. حتی چنان‌چه کاربر از حالت خصوصی در مرورگر سافاری استفاده کند؛ در این‌صورت بازدید از چند سایت مختلف با استفاده از یک تب کماکان موجب می‌شود تا کلیه پایگاه داده‌های مرتبط با آنها در اختیار سایت‌های متعاقبا بازدید شده توسط کاربر قرار گیرند.