اخیرا درون ورژن 15 مرورگر سافاری، باگی کشف شده که باعث می شود عادات جستجو و حتی دادههای شخصی و هویت کاربران فاش شود. برای اطلاع از جزئیات این مشکل، با ما در کارو تک همراه باشید.
یک باگ سافاری در نحوه مدیریت رابط برنامهنویسی کاربردی IndexedDB، به طور بالقوه میتواند باعث فاش شده عادات مرور کاربر و همچنین لو رفتن اطلاعات شود.
کمپانی آمریکایی اپل همواره برای جلوگیری از ردیابی بین سایتی و حفظ حریم خصوصی کاربران خود در مرورگر سافاری کوشیده است. با این حال، یک اشکال در نحوه عملکرد این مرورگر ممکن است تمام تلاشهای اپل را بر باد دهد.
اخیرا گزارشی از سایت Finger print JS منتشر شده که خبر از مشکلدار بودن نحوه پیادهسازی رابط برنامهنویسی کاربردی IndexedDB اپل در سافاری 15 را میدهد. به گفته محققان، این باگ میتواند به هر سایتی اجازه دهد تا فعالیت کاربران در آن مرورگر را ردیابی کرده و هویت آنها را تشخیص دهد.
IndexedDB یک رابط برنامهنویسی کاربردی برای مرورگرها بوده که برای ذخیرهسازی اطلاعات کاربر و دادههایی مانند پایگاه داده استفاده میشود. این رابط برنامه نویسی به طور معمول برای تمامی سایتها یک دسترسی تعریف کرده و تنها اجازه دسترسی به دادههایی که همان سایت تولید کرده است را میدهد.
در مورد سافاری 15 در سیستم عاملهای iOS، macOS و iPadOS، مشخص شده که IndexedDB به خوبی عمل نمیکند. محققان ادعا میکنند که هرگاه یک وبسایت با پایگاه داده خود تعامل داشته باشد، یک پایگاه داده خالی جدید با همان نام در «تمام فریمها، برگهها و پنجرههای فعال دیگر در همان مرورگر» ایجاد میشود.
این باگ یک مشکل بزرگ بوده زیرا میتواند به وبسایتها اجازه دهد که متوجه شوند کاربر در حال حاضر چه صفحههای دیگری را بازدید کرده است. تا حدی، این معضل به دلیل آن است که پایگاههای داده دارای نامهای منحصر به فرد و مختص همان وبسایت هستند.
اما این مشکل جایی بدتر میشود که برخی سایتها از نامهای پایگاه داده استفاده میکنند که ممکن است در آنجا اطلاعات خصوصی کاربر ذخیره شده باشد. زیرا برای وبسایتهای مرتبط مانند یوتیوب و جیمیل که اعتبارنامه احراز هویت یکسانی را به اشتراک میگذارند، نام پایگاه داده آنها میتواند همان شناسه کاربری تأیید شده توسط گوگل باشد.
آیدی کاربران گوگل به عنوان یک شناسه داخلی در آن استفاده شده و به یک حساب جداگانه مربوط میباشد. همچنین میتوان با استفاده از این شناسهی اطلاعات، جزئیات مربوط به فردی را از رابطهای برنامهنویسی کاربردی گوگل استخراج کرده که باعث میشود سایتها بتوانند کاربر را به طور کامل شناسایی کنند.
در آزمایشات، مشخص شده است که پایگاه داده نمایه شده با شناسههای مخصوص جهانی توسط شبکههای تبلیغاتی ایجاد شدهاند. با این حال، ویژگیهای پیشگیری از ردیابی درون مرورگر سافاری حداقل از افشای نامهای پایگاه داده از این طریق جلوگیری کرده است.
حتی استفاده از Private Window یا پنجره خصوصی از کاربران در برابر این پدیده محافظت نمی کند؛ اما با این حال، پنجرههای باز شده و اثرات آنها تنها به همان تب محدود میشود.
یک صفحه وب همچنین به این باگ پرداخته و نشان داده که این مشکل میتواند شناسه کاربری گوگل و همچنین وبسایتهایی که در همان جلسه بارگیری شدهاند را پس از دسترسی به نسخه نمایشی لو دهد.
فهرست مرورگرهای آسب دیده از این باگ شامل سافاری 15 در سیستم عاملهای macOS 15، iOS 15 و iPadOS 15 میشود.
با توجه به نحوه آشکار شدن این مشکل، کاربران سافاری نمیتوانند کاری در برابر آن بکنند. مسدود کردن جاوا اسکریپت یک راه خوب است که میتوانید پس از مسدودسازی، در صورت نیاز آن را در سایتهای مورد اعتماد فعال کنید؛ اما ممکن است این راه به تجربه کار شما با این مرورگر آسیب برساند.
یکی دیگر از راههای جایگزینی که کاربران macOS میتوانند انجام دهند، استفاده از یک مرورگر جایگزین به صورت موقتی است؛ هرچند که این گزینه برای کاربران سیستم عاملهای iOS و iPadOS در دسترس نیست.
در نهایت، محققان اعلام کرده که تنها راه حل واقعی و مطمئن این است که مرورگر یا سیستم عامل خود را به محض حل شدن مشکل از سمت اپل بروزرسانی کنید.