باگ جدی مرورگر سافاری، داده‌های شخصی کاربران آیفون، آیپد و مک را لو می‌دهد!

به گزارش «نبض فناوری»، وبسایت 9to5Mac اعلام کرد، موسسه امنیتی FingerprintJS با انتشار گزارشی در روز جمعه به کشف یک باگ جدید مرورگر موبایلی سافاری در سیستم‌عامل iOS 15 اشاره کرد. در این گزارش خاطرنشان شده که باگ مذکور به کلیه وبسایت‌ها امکان می‌دهد تا فعالیت اینترنتی کاربران را ردیابی نموده و حتی به هویت آنها پی ببرند. باگ شناسایی شده در رابط برنامه‌نویسی اپلیکیشن (API) که توسط اکثر مرورگرها پشتیبانی شده و مورد استفاده قرار می‌گیرد؛ می‌تواند جهت دستیابی به اطلاعات متعددی در رابطه با کاربران به‌کار گرفته شود.

برنامه‌نویسان به منظور اتصال بخش‌هایی از یک نرم‌افزار به نرم‌افزارهای دیگر و توسعه هرچه آسان‌تر برنامه‌ها از یک API استفاده می‌کنند. یکی از این APIها با نام IndexedDB توسط اکثر مرورگرهای اصلی پشتیبانی شده و بر اساس اعلام گزارش، مقدار قابل‌توجهی از داده‌ها را در خود نگهداری می‌کند.

مرورگر سافاری در سیستم‌عامل‌های iOS 15 و iPadOS 15 دارای باگی است که می‌تواند برای افشاء و سوء استفاده از داده‌های شخصی کاربران به‌کار گرفته شود.

باگ موجود در سیستم‌عامل‌های iOS 15، iPadOS 15 و macOS به وبسایت‌های تصادفی امکان می‌دهد تا از عناوین سایت‌های بازدید شده توسط کاربر در سایر پنجره‌ها و تب‌ها مطلع شوند. چنین سناریویی امکان‌پذیر است؛ زیرا سایت‌هایی مانند Google Calendar، یوتیوب و Google Keep در اسامی پایگاه داده خود از شناسه‌های منحصربه‌فرد مخصوص کاربر استفاده می‌کنند. در نتیجه کاربران احراز هویت شده قابل شناسایی خواهند بود؛ چرا که سایت‌های فوق پایگاه داده‌هایی را ایجاد می‌کنند که شامل شناسه کاربری گوگل متعلق به کاربر است و دیتابیس‌ها برای تمامی اکانت‌های مورد استفاده باز می‌شوند.

شناسه کاربری گوگل نهایتا شخص مهاجم را به‌سوی انبوهی از داده‌های شخصی کاربران هدایت می‌کند. هر یک از این شناسه‌ها می‌توانند برای شناسایی یک اکانت گوگلی خاص به‌کارگیری شده و در ترکیب با APIهای گوگل، حداقل تصویر پروفایل شما را در اختیار هکر قرار دهند. همچنین شناسه کاربری گوگل به شخص مهاجم کمک می‌کند تا اطلاعات شخصی بسیار بیش‌تری را کسب نموده و چندین اکانت مجزای متعلق به یک کاربر را شناسایی کند.

متاسفانه دسترسی به اطلاعات شخصی کاربر نیازمند انجام هیچ‌گونه اقدام خاصی نبوده و بر اساس اعلام گزارش، زبانه یا پنجره‌ای که در پس‌زمینه اجرا می‌شود و پرس‌وجوهای مربوط به دیتابیس‌های موجود را به‌طور مداوم برای IndexedDB API ارسال می‌کند؛ می‌تواند از عناوین سایر وبسایت‌های بازدید شده توسط کاربر به‌صورت آنی مطلع شود. از سوی دیگر وبسایت‌ها می‌توانند هر سایتی را در یک iframe یا پنجره پاپ‌آپ باز کرده و قابلیت دریافت اطلاعات مبتنی بر IndexedDB API را برای آن سایت خاص فعال نمایند.

موسسه امنیتی FingerprintJS فهرست 1000 سایت برتر پربازدید بر اساس رتبه‌بندی الکسا را بررسی کرد و به وجود 30 مورد تعامل با دیتابیس‌های نمایه شده روی صفحه اصلی آنها پی برد؛ در حالی‌که به تعامل با کاربر یا احراز هویت از جانب وی هیچ نیازی نبود. حتی چنان‌چه کاربر از حالت خصوصی در مرورگر سافاری استفاده کند؛ در این‌صورت بازدید از چند سایت مختلف با استفاده از یک تب کماکان موجب می‌شود تا کلیه پایگاه داده‌های مرتبط با آنها در اختیار سایت‌های متعاقبا بازدید شده توسط کاربر قرار گیرند.

آیا برای جلوگیری از این باگ راهکار خاصی وجود دارد؟

چنان‌چه کاربر از مرورگر سافاری در سیستم‌عامل‌های iPadOS 15 و iOS 15 استفاده کند؛ در این‌صورت کار چندانی از دست وی بر نخواهد آمد. یکی از پیشنهادات این است که جاوا اسکریپت را به‌طور کامل و به‌صورت پیش‌فرض مسدود کرده و صرفا امکان باز شدن سایت‌های 100 درصد قابل اعتماد را فراهم نمایید. کاربران مک برای مصونیت از این باگ می‌توانند از مرورگر متفاوتی استفاده کنند؛ اما این راهکار در پلتفرم‌های iPadOS 15 و iOS 15 سودمند نخواهد بود. شایان به ذکر است که وجود این باگ توسط موسسه امنیتی FingerprintJS مورد تائید قرار گرفته و گزارش آن تحت‌عنوان bug 233548 در تاریخ 28 نوامبر 2021 (7 آذر ماه) برای پایگاه WebKit Bug Tracker ارسال شده است.

چنان‌چه مایل به مشاهده نحوه کارکرد این باگ در دستگاه آیفون یا آیپد خود هستید؛ در این‌صورت مرورگر سافاری را باز کرده و سپس به آدرس safarileaks.com مراجعه کنید. پس از دنبال کردن دستورالعمل‌های ساده، نام آخرین سایت بازدید شده با سرعتی بسیار بالا برای شما ظاهر می‌شود؛ مشروط بر اینکه نام سایت در فهرست عناوین ذخیره شده روی صفحه Demo موجود بوده و حساب‌کاربری گوگلی منحصربه‌فرد شما نیز قابل دسترس باشد. ویدیوی مربوط به نحوه کارکرد باگ مورد اشاره را در اینجا مشاهده کنید.

به بیان صادقانه تنها راهکار عملی، انتظار کشیدن برای عرضه به‌روزرسانی نرم‌افزاری جدید iOS و iPadOS توسط اپل و اطمینان از دریافت آن به محض انتشار است. مجددا در رابطه با کاربران مک بایستی خاطرنشان کرد که تغییر مرورگر راهکاری معتبر به‌شمار می‌رود؛ اگرچه این ایده در سیستم‌عامل‌های iPadOS و iOS عملی نخواهد بود. همچنین بایستی به‌خاطر داشت که رفع این باگ نیازمند انجام هیچ‌گونه اقدامی از جانب کاربران نیست.

منبع/ آی‌تی‌رسان