سافاری 15 اطلاعات وبگردی کاربران را در‌ اختیار وب‌سایت‌ها قرار می‌دهد

سافاری 15 اطلاعات وبگردی کاربران را در‌ اختیار وب‌سایت‌ها قرار می‌دهد

نحوه‌ی مدیریت پایگاه داد‌ه‌‌ها در API سافاری 15 به‌طور بالقوه اطلاعات مربوط به عادات وبگردی کاربران را در‌ اختیار وب‌سایت‌ها قرار داده و می‌تواند باعث افشای هویّت آن‌ها شود.

اپل به صورت مداوم برای محافظت از داده‌های کاربران در سافاری تلاش می‌کند تا تمرکز این مرورگر بر حفظ حریم خصوصی کاربران باشد و در همین راستا نیز ابتکارات مختلفی برای جلوگیری از ردیابی داده‌های کاربران معرفی می‌کند؛ با‌ این‌‌ حال به گزارش appleinsider به نظر می‌رسد اشکالی در نحوه‌ی عملکرد مرورگر سافاری وجود دارد که تمام تلاش‌های این شرکت را به هدر داده است.

سرویس ارزیابی امنیت مرورگرها (FingerprintJS)، با انتشار پستی اعلام کرد که در نحوه‌ی پیاده‌سازی پایگاه داده فهرست شده‌ی API اپل در نسخه 15 سافاری مشکلی وجود دارد که به هر وب‌سایتی اجازه می‌دهد فعالیت‌های وبگردی کاربران را ردیابی کند و می‌تواند به‌طور بالقوه هویّت آن‌ها را فاش سازد.

index-example-xl

پایگاه داده فهرست شده‌ی API یا IndexedDB، رابط برنامه‌نویسی‌ برنامه جاوا اسکریپت برای مرورگرها است که داده‌ها را مدیریت کرده و آن‌ها را برای دسترسی آفلاین کاربر ذخیره می‌کند؛ API نیز‌ رابط‌هایی نرم‌افزاری هستند که ارتباط بین نرم‌افزارهای مختلف را پیاده‌سازی می‌کنند.

معمولاً IndexedDB با پیروی از خط‌مشی یکسانی برای تمام سیستم‌عامل‌ها، اجازه‌ی دسترسی وب‌سایت‌ها به داده‌های کاربران را محدود کرده و تنها به وب‌سایتی که داده‌ها را تولید کرده باشد، دسترسی می‌دهد؛ اما IndexedDB در نسخه‌ی 15 مرورگر سافاری برای سیستم‌عامل دسکتاپ اپل (macOS)، سیستم‌عامل همراه اپل (iOS) و سیستم‌عامل آیپدهای اپل (iPadOS) از همان ابتدا خط‌مشی را نقض می‌کند و هر زمان که وب‌سایتی با پایگاه داده‌ی خود تعامل برقرار کند، پایگاه داده‌ای خالی و جدید با همان نام «در تمام فریم‌ها، تب‌ها و پنجره‌های فعال دیگر در همان مرورگر» ایجاد می‌کند.

باگ سافاری 15 می‌تواند امکان دسترسی وب‌سایت‌ها به اطلاعات کاربر و پنجره‌ها و تب‌های باز او را در لحظه فراهم کند

باگ نسخه‌ی 15 مرورگر سافاری با استفاده از منحصر‌به‌فرد بودن شناسه‌های کاربر در وب‌سایت‌هایی مانند Gmail و YouTube، اعتبارنامه‌های احراز هویت یکسان یا همان شناسه‌ی کاربری تأیید شده‌ی گوگل را به اشتراک می‌گذارد.

شناسه‌ی کاربری گوگل به حسابی منفرد مربوط می‌شود که حاوی اطلاعات شخصی کاربر است. این باگ شناسه‌ی کاربر را از APIهای گوگل استخراج کرده و به سایت‌های دیگر اجازه می‌دهد تا کاربر را به‌طور کامل شناسایی کنند.

حتی استفاده از پنجره‌ی خصوصی سافاری نیز از کاربران در‌ ‌برابر باگ نسخه‌ی 15 محافظت نمی‌کند، اما شاید باز کردن تنها یک تب در هر پنجره‌‌ی سافاری بتواند اثر آن را محدود کند.

نحوه‌ی محافظت از داده‌ها در سافاری 15

با توجه به نحوه‌ی فاش شدن باگ سافاری 15 به نظر می‌رسد که کاربران گزینه‌های خیلی زیادی برای محافظت از داده‌های خود نداشته باشند؛ مسدود کردن جاوا اسکریپت به صورت پیش‌فرض و فعال کردن آن تنها در وب‌سایت‌های قابل اعتماد، یکی از راه‌های جلوگیری از نشت داده در سافاری است، اما این روش می‌تواند به تجربه‌ی وبگردی کاربر آسیب برساند.

روش موقت دیگری که می‌توان در سیستم‌عامل دسکتاپ اپل (macOS) انجام داد، استفاده از مرورگر دیگری مانند کروم است؛ استفاده از این روش برای کاربران سیستم‌عامل همراه اپل (iOS) و سیستم‌عامل آیپدهای اپل (iPadOS) امکان‌پذیر نیست.

در‌ نهایت، محققان اعلام کردند که «تنها راه قطعی برای محافظت از داده‌ها این است که به محض حل شدن مشکل توسط اپل، مرورگر یا سیستم‌عامل خود را به‌روز کنید.»

شما برای محافظت از داده‌های خود کدام راه را انتخاب می‌کنید؟

لوگوی تلگرام

با کانال تلگرام زومیت، آخرین اخبار فناوری و علمی را سریع‌تر از همیشه دنبال کنید.

منبع Appleinsider
  دیدگاه
کاراکتر باقی مانده