باگ جدید سافاری می‌تواند برای کاربران دردسر ساز شود

حفره‌ی امنیتی جدید مرورگر سافاری می‌تواند برای افشای تاریخچه‌ی مرورگر شما و احتمالا مؤلفه‌های هویتتان مورد سوء استفاده قرار گیرد. این آسیب‌پذیری که توسط وب‌سایت FingerprintJS در روز شنبه آشکار شد، IndexedDB نام دارد که بخشی از موتور توسعه مرورگر وب WebKit اپل است. به بیان ساده، از حفره‌ی امنیتی IndexedDB می‌توان برای ذخیره داده‌ها در رایانه شما مانند وب‌سایت‌هایی که بازدید کرده‌اید استفاده کرد و باعث می‌شود وقتی بعدا به آن‌ها بازگردید سریع‌تر برای شما به نمایش درمی‌آیند.

IndexedDB هم معمولا از مکانیزم امنیتی سیاست‌های مبدأ پیروی می‌کند که این سیاست‌ها به وب‌سایت‌ها اجازه نمی‌دهند که آزادانه با یکدیگر تعامل داشته باشند، مگر اینکه نام دامنه‌ی یکسانی داشته باشند (در میان الزامات دیگر). اگر بخواهیم به زبان ساده برای شما مثالی بزنیم؛ فکر کنید که در قرنطینه هستید و فقط اجازه دارید با اعضای خانواده خود معاشرت کنید. به‌عنوان مثالی دیگر، نتفلیکس نمی‌تواند به داده‌های ذخیره‌شده IndexedDB دسترسی پیدا کند تا متوجه شود که شما با استفاده از یوتیوب به آن خیانت کرده‌اید.

باید خاطر نشان کنیم متأسفانه حفره‌ی امنیتی فاش شده توسط وب‌سایت FingerprintJS باعث می‌شود که IndexedDB سیاست مبدأ را نقض کند و داده‌هایی را که جمع‌آوری کرده در اختیار وب‌سایت‌هایی قرار دهد که از آن‌ها اطلاعاتی جمع‌آوری نکرده است. حتی بدتر از آن، برخی از وب‌سایت‌ها مانند آن‌هایی که زیرمجموعه‌ی گوگل هستند از شناسه‌های منحصر‌به‌فرد کاربر در داده‌های ارائه‌شده به IndexedDB استفاده می‌کنند. این بدان معناست که اگر به حساب گوگل خود وارد شده باشید، می‌توان از داده‌های جمع آوری شده برای شناسایی دقیق تاریخچه‌ی مرورگر و جزئیات حساب کاربری شما استفاده کرد و اگر به بیش از یک حساب وارد شده‌اید، سودجویان سایبری آن را هم تشخیص می‌دهند.

سایت FingerprintJS در گزارشی نوشت: «این نه تنها به این معنی است که وب‌سایت‌های غیرقابل اعتماد یا مخرب می‌توانند به هویت کاربر دسترسی پیدا کنند، بلکه امکان پیوند چندین حساب جداگانه مورد استفاده توسط یک کاربر را هم فراهم می‌کند. تبی که در پس‌زمینه اجرا می‌شود و به‌طور مداوم درباره پایگاه‌های داده از IndexedDB API پرس‌وجو می‌کند، می‌تواند متوجه شود که کاربر به‌شکل هم‌زمان در چه سایت‌های دیگری حضور دارد.» FingerprintJS این باگ را در پایان نوامبر گذشته گزارش کرد، اما اپل هنوز آن را برطرف نکرده است.
در این واقعیت که چنین این حفره‌ی امنیتی اطلاعات و مؤلفه‌های هویتی بسیاری از کاربران را به خطر می‌اندازد شکی نیست، اما در حال حاضر کار زیادی نمی‌توانید درباره‌ی آن انجام دهید. قابلیت private tab سافاری می‌تواند آسیب‌های احتمالی را کاهش دهد، زیرا یک تب خصوصی نمی‌تواند بفهمد در تب دیگری چه اتفاقی می‌افتد. مرورگر در حالت خصوصی از اطلاعات شما محافظت کرده و مانع ردیابی برخی وب سایت‌ها از جستجوی شما می‌شود.

وب‌سایت FingerprintJS در ادامه‌ی توضیحات خود آورده: «اگر از چندین وب‌سایت مختلف در یک تب [خصوصی] بازدید کنید، تمام پایگاه‌های داده‌ای که این وب‌سایت‌ها با آن‌ها تعامل دارند به همه وب‌سایت‌هایی که بعدا بازدید شده‌اند اطلاعات می‌دهند.» کاربران مک می‌توانند با جابه‌جایی از مرورگر سافاری به مرورگر دیگری از آسیب‌پذیری جلوگیری کنند، اما افرادی که از سیستم عامل iOS یا iPadOS استفاده می‌کنند در این باره شانس زیادی ندارند.

الزام اپل برای استفاده از WebKit همه‌ی مرورگرهای وب در سیستم‌ عامل‌های iOS و iPad به این معنی است که حفره‌ی امنیتی IndexedDB بر همه‌ی مرورگرهای این سیستم‌ها تأثیر گذاشته است. بهترین کاری که می‌توانید انجام دهید این است که منتظر بمانید تا اپل با ارائه‌ی یک به‌روزرسانی مشکل را حل کند، در غیر این صورت بهتر است به اندروید سوئیچ یا فقط از سیستم عامل‌های مذکور خارج شوید.