باگ جدی سافاری
متفرقه

باگ جدی سافاری اطلاعات شخصی کاربران آیفون، آی پد و مک را فاش می‌کند

شرکت امنیتی اثر انگشت JS روز جمعه گزارشی در مورد یک باگ جدی سافاری یافت شده در نسخه iOS 15 مرورگر موبایل سافاری اپل منتشر کرد. در این گزارش آمده است که این باگ “به هر وب سایتی اجازه می دهد فعالیت اینترنتی شما را ردیابی کند و حتی هویت شما را فاش کند.” یک اشکال یافت شده در یک رابط برنامه نویسی برنامه (API) که توسط اکثر مرورگرها استفاده و پشتیبانی می شود، می تواند توسط مهاجمان برای یافتن چیزهای زیادی در مورد شما استفاده شود.

باگ جدی سافاری

یک API توسط برنامه نویسان برای اتصال بخش هایی از نرم افزار به نرم افزارهای دیگر استفاده می شود که توسعه برنامه ها را آسان تر می کند. یکی از این API ها، به نام IndexedDB، توسط اکثر مرورگرهای اصلی پشتیبانی می شود و آنچه که گزارش آن را «مقدار قابل توجهی از داده» می نامد، در خود نگه می دارد.

سافاری در iOS 15 و iPadOS 15 دارای یک باگ است که می توان از آن برای افشای اطلاعات شخصی شما سوء استفاده کرد.

باگ موجود در iOS 15، iPadOS 15 و macOS به وب‌سایت‌های تصادفی اجازه می‌دهد تا بدانند کاربر از چه سایت‌های دیگری در پنجره‌ها و تب‌های دیگر بازدید می‌کند. این امکان پذیر است زیرا سایت هایی مانند YouTube، Google Calendar و Google Keep از “شناسه های منحصر به فرد مخصوص کاربر” در نام پایگاه داده خود استفاده می کنند. در نتیجه، کاربران احراز هویت شده را می‌توان شناسایی کرد زیرا سایت‌های فوق پایگاه‌های داده‌ای را ایجاد می‌کنند که شامل شناسه کاربری Google متعلق به کاربر است و پایگاه‌های داده برای همه حساب‌های مورد استفاده باز می‌شوند.

شناسه کاربری Google مهاجم را به انبوهی از داده های شخصی هدایت می کند. هر کدام را می توان برای شناسایی یک حساب Google خاص استفاده کرد و در ترکیب با API های Google، حداقل می تواند تصویر نمایه شما را برای یک هکر نشان دهد. همچنین می تواند به مهاجم کمک کند تا اطلاعات شخصی بسیار بیشتری را بدست آورد و “چند حساب جداگانه” متعلق به یک کاربر را باز کند.

متأسفانه، یادگیری اطلاعات شخصی شما نیازی به انجام هیچ اقدام خاصی ندارد زیرا در گزارش آمده است: «برگه یا پنجره‌ای که در پس‌زمینه اجرا می‌شود و دائماً از IndexedDB API برای پایگاه‌های داده موجود سؤال می‌کند، می‌تواند متوجه شود که کاربر از چه وب‌سایت‌های دیگری بازدید می‌کند. زمان دیگر، وب‌سایت‌ها می‌توانند هر وب‌سایتی را در یک iframe یا پنجره بازشو باز کنند تا نشت مبتنی بر IndexedDB برای آن سایت خاص ایجاد کنند.”

FingerprintJS با 1000 سایت برتر بازدید شده الکسا بررسی کرد و دریافت که 30 سایت با پایگاه های داده نمایه شده مستقیماً در صفحه اصلی خود بدون هیچ گونه تعامل یا احراز هویت مورد نیاز کاربر تعامل دارند. حتی اگر شخصی از حالت خصوصی در سافاری استفاده می‌کند، اگر با استفاده از یک برگه از چندین وب‌سایت بازدید کند، تمام پایگاه‌های داده‌ای که با آن‌ها تعامل دارند به سایت‌هایی که کاربر متعاقباً از آنها بازدید می‌کند لو می‌شود.

آیا راهی برای جلوگیری از این باگ وجود دارد؟

اگر یک کاربر سافاری از iOS 15 یا iPadOS 15 استفاده می کند، کار زیادی نمی تواند انجام دهد. یک پیشنهاد این است که همه جاوا اسکریپت را به طور پیش فرض مسدود کنید و فقط در سایت هایی که 100٪ مورد اعتماد هستند اجازه دهید. کاربران مک می توانند مرورگرها را برای فرار از این باگ تغییر دهند، اما این راه حلی برای iOS 15 یا iPadOS 15 نیست. باید اشاره کنیم که این اشکال توسط FingerprintJS به WebKit Bug Tracker در 28 نوامبر 2021 به عنوان باگ 233548 ارسال شده است.

اگر می‌خواهید این موضوع را در iPhone یا iPad خود بررسی کنید، Safari را باز کنید و به آن اشاره کنید safarileaks.com و دستورالعمل های ساده را دنبال کنید. به سرعت (خیلی سریع)، نام آخرین سایتی که بازدید کرده اید ظاهر می شود (اگر یکی از سایت های لیست شده در صفحه نمایشی باشد) و شناسه کاربری منحصر به فرد Google شما قابل دسترسی است.
صادقانه بگویم، تنها راه حلی که دارید این است که منتظر بمانید اپل نرم‌افزار iOS و iPadOS را به‌روزرسانی کرده و به محض انتشار آن را نصب کند. مجدداً، اگر از مک استفاده می کنید، تغییر مرورگرها گزینه معتبری است، اگرچه در iOS و iPadOS اینطور نیست. و به خاطر داشته باشید که کاربران برای رفع اشکال نیازی به انجام هیچ اقدام خاصی ندارند.

4.5/5 - (6 امتیاز)
نظرات

نظرتان را با ما به اشتراک بگذارید!

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *