باگ جدید سافاری اطلاعات شخصی کاربران آیفون، آیپد و مک را فاش می کند
امنیت در محصولات اپل حرف اول را میزند. اما این موضوع بدان معنا نیست که اصلا و ابدا هیچ مشکلی در آن وجود ندارد. زیرا به تازگی مشخص شده است که باگ جدید سافاری اطلاعات شخصی کاربران آیفون، آیپد و مک را فاش میکند. با ترنجی همراه باشید.
باگ جدید سافاری و لو رفتن اطلاعات شخصی کاربران اپل
شرکت امنیتی FingerprintJS روز جمعه گزارشی در مورد یک باگ یافت شده در نسخه iOS 15 مرورگر موبایل سافاری منتشر کرد. در این گزارش آمده است که این باگ به هر وب سایتی اجازه میدهد که فعالیت شما را ردیابی کرده و حتی هویت شما را نیز فاش کند. یک باگ یافت شده در یک رابط برنامه نویسی (API) که توسط اکثر مرورگرها استفاده و پشتیبانی میشود، میتواند توسط مهاجمان برای پیدا کردن اطلاعات زیادی در مورد شما استفاده شود.
API توسط برنامه نویسان برای اتصال بخشهایی از نرمافزار به نرمافزارهای دیگر استفاده میشود که توسعه برنامهها را آسانتر میکند. یکی از این API ها، به نام IndexedDB، توسط اکثر مرورگرهای اصلی پشتیبانی میشود و آنچه که این گزارش اخیر آن را “مقدار قابل توجهی از دادهها” مینامد، در خود نگه میدارد.
گوگل برای حفظ موتور جستجو پیش فرض در سافاری ۱۵ میلیارد دلار به اپل پرداخت میکند
سافاری در iOS 15 و iPadOS 15 دارای یک باگ است که میتوان از آن برای افشای اطلاعات شخصی شما سوء استفاده کرد
این باگ در iOS 15، iPadOS 15 و macOS به وبسایتهای مختلف اجازه میدهد تا بدانند کاربر از چه سایتهای دیگری در پنجرهها و تبهای دیگر بازدید میکند. این موضوع امکان پذیر است زیرا سایتهایی مانند YouTube، Google Calendar و Google Keep از شناسههای منحصر به فرد مخصوص کاربر در نام پایگاه داده خود استفاده میکنند. در نتیجه، کاربران احراز هویت شده را میتوان شناسایی کرد زیرا سایتهای فوق پایگاههای دادهای را ایجاد میکنند که شامل شناسه کاربری متعلق به کاربر است و پایگاههای داده برای همه حسابهای مورد استفاده باز میشوند.
شناسه کاربری Google، مهاجم را به حجم انبوهی از دادههای شخصی هدایت میکند. از هر کدام از آنها میتوان برای شناسایی یک حساب خاص استفاده کرد و در ترکیب با API های Google، حداقل میتواند تصویر نمایه شما را برای یک هکر نشان دهد. همچنین میتواند به مهاجم کمک کند تا اطلاعات شخصی بسیار زیادی را بدست آورد و چند حساب جداگانه متعلق به یک کاربر را باز کند.
متأسفانه، پیدا کردن اطلاعات شخصی شما نیازی به انجام هیچ اقدام خاصی ندارد زیرا در گزارش آمده است که برگه یا پنجرهای که در پسزمینه اجرا میشود و دائماً از IndexedDB API برای پایگاههای داده موجود سؤال میکند، میتواند متوجه شود که کاربر از چه وبسایتهای دیگری بازدید میکند. از سویی دیگر، وبسایتها میتوانند هر وبسایتی را در یک iframe یا پنجره بازشو باز کنند تا یک نشت مبتنی بر IndexedDB برای آن سایت خاص ایجاد کنند.
FingerprintJS حدود ۱۰۰۰ سایت برتر بازدید شده توسط الکسا را بررسی کرد و دریافت که ۳۰ سایت با پایگاههای داده مستقیما در صفحه اصلی خود بدون هیچ گونه تعامل یا احراز هویت مورد نیاز کاربر، تعامل دارند. حتی اگر شخصی از حالت خصوصی در سافاری استفاده میکند، اگر با استفاده از یک برگه از چندین وبسایت بازدید کند، تمام پایگاههای دادهای که با آنها تعامل دارند به سایتهایی که کاربر متعاقبا از آنها بازدید میکند گزارش میشود.
سافاری ۱۴ اجازه ورود به وب سایت ها با Face ID یا Touch OD را ارایه می کند
آیا راهی برای جلوگیری از این باگ وجود دارد؟
اگر یک کاربر سافاری از iOS 15 یا iPadOS 15 استفاده میکند، کار چندان زیادی نمیتواند انجام دهد. یک پیشنهاد این است که همه جاوا اسکریپتها را به طور پیش فرض مسدود کنید و فقط در سایت هایی که کاملا مورد اعتماد هستند آن را فعال کنید. کاربران مک میتوانند مرورگرها را برای دوری از این باگ تغییر دهند. اما این راه حل مناسبی برای iOS 15 یا iPadOS 15 نیست. این باگ توسط FingerprintJS در تاریخ ۲۸ نوامبر 2021 (۷ آذر ۱۴۰۰) به عنوان باگ ۲۳۳۵۴۸ به WebKit Bug Tracker ارسال شده است.
اگر میخواهید این موضوع را در آیفون یا آیپد خود بررسی کنید، مرورگر Safari را باز کنید. سپس به safarileaks.com رفته و دستورالعملهای ساده آن را دنبال کنید. اگر یکی از سایتهای لیست شده در صفحه نمایش باشد، شناسه کاربری منحصر به فرد Google شما قابل دسترسی است و خیلی زود نام آخرین سایتی که بازدید کردهاید ظاهر میشود.
به گفته phonearena، تنها راه حلی که وجود دارد این است که منتظر بمانید تا اپل iOS و iPadOS را آپدیت کند و مطمئن شوید که به محض انتشار آن را نصب میکنید. مجددا باید گفت که اگر از مک استفاده میکنید، تغییر مرورگرها روش مناسبی است اما در iOS و iPadOS اینطور نیست. به خاطر داشته باشید که کاربران برای رفع اشکال نیازی به انجام هیچ اقدام خاصی ندارند.
نظر شما در مورد باگ جدید سافاری چیست؟
نوشته باگ جدید سافاری اطلاعات شخصی کاربران آیفون، آیپد و مک را فاش می کند اولین بار در ترنجی پدیدار شد.