بر اساس اعلام وبسایت 9to5Mac، موسسه امنیتی FingerprintJS با انتشار گزارشی در روز جمعه به کشف یک باگ جدید مرورگر موبایلی سافاری در سیستمعامل iOS 15 اشاره کرد. در این گزارش خاطرنشان شده که باگ مذکور به کلیه وبسایتها امکان میدهد تا فعالیت اینترنتی کاربران را ردیابی نموده و حتی به هویت آنها پی ببرند. باگ شناسایی شده در رابط برنامهنویسی اپلیکیشن (API) که توسط اکثر مرورگرها پشتیبانی شده و مورد استفاده قرار میگیرد؛ میتواند جهت دستیابی به اطلاعات متعددی در رابطه با کاربران بهکار گرفته شود.
برنامهنویسان به منظور اتصال بخشهایی از یک نرمافزار به نرمافزارهای دیگر و توسعه هرچه آسانتر برنامهها از یک API استفاده میکنند. یکی از این APIها با نام IndexedDB توسط اکثر مرورگرهای اصلی پشتیبانی شده و بر اساس اعلام گزارش، مقدار قابلتوجهی از دادهها را در خود نگهداری میکند.
مرورگر سافاری در سیستمعاملهای iOS 15 و iPadOS 15 دارای باگی است که میتواند برای افشاء و سوء استفاده از دادههای شخصی کاربران بهکار گرفته شود
باگ موجود در سیستمعاملهای iOS 15، iPadOS 15 و macOS به وبسایتهای تصادفی امکان میدهد تا از عناوین سایتهای بازدید شده توسط کاربر در سایر پنجرهها و تبها مطلع شوند. چنین سناریویی امکانپذیر است؛ زیرا سایتهایی مانند Google Calendar، یوتیوب و Google Keep در اسامی پایگاه داده خود از شناسههای منحصربهفرد مخصوص کاربر استفاده میکنند. در نتیجه کاربران احراز هویت شده قابل شناسایی خواهند بود؛ چرا که سایتهای فوق پایگاه دادههایی را ایجاد میکنند که شامل شناسه کاربری گوگل متعلق به کاربر است و دیتابیسها برای تمامی اکانتهای مورد استفاده باز میشوند.
شناسه کاربری گوگل نهایتا شخص مهاجم را بهسوی انبوهی از دادههای شخصی کاربران هدایت میکند. هر یک از این شناسهها میتوانند برای شناسایی یک اکانت گوگلی خاص بهکارگیری شده و در ترکیب با APIهای گوگل، حداقل تصویر پروفایل شما را در اختیار هکر قرار دهند. همچنین شناسه کاربری گوگل به شخص مهاجم کمک میکند تا اطلاعات شخصی بسیار بیشتری را کسب نموده و چندین اکانت مجزای متعلق به یک کاربر را شناسایی کند.
متاسفانه دسترسی به اطلاعات شخصی کاربر نیازمند انجام هیچگونه اقدام خاصی نبوده و بر اساس اعلام گزارش، زبانه یا پنجرهای که در پسزمینه اجرا میشود و پرسوجوهای مربوط به دیتابیسهای موجود را بهطور مداوم برای IndexedDB API ارسال میکند؛ میتواند از عناوین سایر وبسایتهای بازدید شده توسط کاربر بهصورت آنی مطلع شود. از سوی دیگر وبسایتها میتوانند هر سایتی را در یک iframe یا پنجره پاپآپ باز کرده و قابلیت دریافت اطلاعات مبتنی بر IndexedDB API را برای آن سایت خاص فعال نمایند.
موسسه امنیتی FingerprintJS فهرست 1000 سایت برتر پربازدید بر اساس رتبهبندی الکسا را بررسی کرد و به وجود 30 مورد تعامل با دیتابیسهای نمایه شده روی صفحه اصلی آنها پی برد؛ در حالیکه به تعامل با کاربر یا احراز هویت از جانب وی هیچ نیازی نبود. حتی چنانچه کاربر از حالت خصوصی در مرورگر سافاری استفاده کند؛ در اینصورت بازدید از چند سایت مختلف با استفاده از یک تب کماکان موجب میشود تا کلیه پایگاه دادههای مرتبط با آنها در اختیار سایتهای متعاقبا بازدید شده توسط کاربر قرار گیرند.
آیا برای جلوگیری از این باگ راهکار خاصی وجود دارد؟
چنانچه کاربر از مرورگر سافاری در سیستمعاملهای iPadOS 15 و iOS 15 استفاده کند؛ در اینصورت کار چندانی از دست وی بر نخواهد آمد. یکی از پیشنهادات این است که جاوا اسکریپت را بهطور کامل و بهصورت پیشفرض مسدود کرده و صرفا امکان باز شدن سایتهای 100 درصد قابل اعتماد را فراهم نمایید. کاربران مک برای مصونیت از این باگ میتوانند از مرورگر متفاوتی استفاده کنند؛ اما این راهکار در پلتفرمهای iPadOS 15 و iOS 15 سودمند نخواهد بود. شایان به ذکر است که وجود این باگ توسط موسسه امنیتی FingerprintJS مورد تائید قرار گرفته و گزارش آن تحتعنوان bug 233548 در تاریخ 28 نوامبر 2021 (7 آذر ماه) برای پایگاه WebKit Bug Tracker ارسال شده است.
چنانچه مایل به مشاهده نحوه کارکرد این باگ در دستگاه آیفون یا آیپد خود هستید؛ در اینصورت مرورگر سافاری را باز کرده و سپس به آدرس safarileaks.com مراجعه کنید. پس از دنبال کردن دستورالعملهای ساده، نام آخرین سایت بازدید شده با سرعتی بسیار بالا برای شما ظاهر میشود؛ مشروط بر اینکه نام سایت در فهرست عناوین ذخیره شده روی صفحه Demo موجود بوده و حسابکاربری گوگلی منحصربهفرد شما نیز قابل دسترس باشد. ویدیوی مربوط به نحوه کارکرد باگ مورد اشاره را در اینجا مشاهده کنید.
به بیان صادقانه تنها راهکار عملی، انتظار کشیدن برای عرضه بهروزرسانی نرمافزاری جدید iOS و iPadOS توسط اپل و اطمینان از دریافت آن به محض انتشار است. مجددا در رابطه با کاربران مک بایستی خاطرنشان کرد که تغییر مرورگر راهکاری معتبر بهشمار میرود؛ اگرچه این ایده در سیستمعاملهای iPadOS و iOS عملی نخواهد بود. همچنین بایستی بهخاطر داشت که رفع این باگ نیازمند انجام هیچگونه اقدامی از جانب کاربران نیست.
