تم اكتشاف خطأ أمان في Safari 15 يمكن أن يؤدي إلى تسريب نشاط التصفح والهوية الشخصية

تم العثور على Safari 15 به ثغرة أمنية تؤدي إلى تسريب نشاط التصفح الخاص بك وحتى السماح للممثلين السيئين بمعرفة هويتك. ظهرت المشكلة بسبب خطأ تم تقديمه في تطبيق IndexedDB ، والذي يعمل كواجهة برمجة تطبيقات (API) لتخزين البيانات المنظمة. يتأثر المستخدمون على أحدث إصدار من macOS وكذلك iOS و iPadOS بالثغرة الأمنية. على الرغم من أنه يمكن لمستخدمي macOS التغلب على التأثير من خلال التبديل إلى متصفح جهة خارجية ، إلا أن مستخدمي iPhone أو iPad ليس لديهم مثل هذا العلاج في الوقت الحالي.

كما ورد في البداية من قبل 9to5Mac ، اكتشفت شركة FingerprintJS لبصمة المستعرض والكشف عن الاحتيال الثغرة الأمنية المفهرسة التي تؤثر على Safari 15. تتبع واجهة برمجة التطبيقات سياسة المصدر نفسه التي تهدف إلى تقييد المستندات والنصوص التي يتم تحميلها من مصدر واحد للتفاعل مع موارد من أصول أخرى . يساعد هذا مستعرض الويب في تأمين جلستك في علامة تبويب واحدة من موقع الويب الذي قمت بالوصول إليه في علامة التبويب الأخرى.

ومع ذلك ، وجد الباحثون في FingerprintJS أن تطبيق Apple لـ IndexedDB ينتهك السياسة. ينتج عن هذا الثغرة التي يمكن للمهاجم استغلالها للوصول إلى نشاط التصفح أو الهوية المرتبطة بحساب Google الخاص بك.

قال الباحثون أثناء شرح الثغرة الأمنية: “في كل مرة يتفاعل فيها موقع ويب مع قاعدة بيانات ، يتم إنشاء قاعدة بيانات جديدة (فارغة) تحمل الاسم نفسه في جميع الإطارات وعلامات التبويب والنوافذ النشطة الأخرى في نفس جلسة المتصفح”.

يسمح الخلل للمتسللين بمعرفة مواقع الويب التي تزورها في علامات تبويب أو نوافذ مختلفة. كما يعرض معرف مستخدم Google الخاص بك إلى مواقع ويب غير تلك التي قمت بتسجيل الدخول إليها باستخدام حساب Google الخاص بك. يسمح معرّف مستخدم Google لمواقع الويب بالوصول إلى معرّفاتك الشخصية بما في ذلك صورة ملفك الشخصي. في النهاية ، يمكن للقراصنة النظر إلى هذه المعرفات من خلال استغلال ثغرة Safari.

تدعي FingerprintJS أن عدد مواقع الويب التي يمكنها التفاعل والوصول إلى نشاط تصفح المستخدمين والمعرفات الشخصية يمكن أن يكون كبيرًا. لإثبات الخلل ، تم أيضًا نشر إثبات المفهوم من قبل الباحثين.

يمكنك استخدام العرض التوضيحي على جهاز Mac أو iPhone أو iPad الذي يحتوي على Safari 15 للنظر في الثغرة الأمنية. يكتشف حاليًا المواقع الشهيرة بما في ذلك Alibaba و Instagram و Twitter و Xbox لاقتراح كيفية تسريب قاعدة البيانات من موقع واحد إلى الآخرين. ومع ذلك ، لا تقتصر المشكلة على هؤلاء وقد تؤثر على المستخدمين الذين يزورون مواقع أخرى أيضًا.

يمكن للمستخدمين الذين ينتقلون إلى الوضع الخاص في Safari 15 تقليل مدى المعلومات المتاحة عبر التسريب حيث تقتصر جلسات التصفح الخاصة على المتصفح على علامة تبويب واحدة. ومع ذلك ، سينتهي بك الأمر إلى تسريب بياناتك إذا قمت بزيارة مواقع ويب متعددة واحدًا تلو الآخر في نفس علامة التبويب.

ومع ذلك ، يمكن لمستخدمي Mac التبديل إلى متصفح جهة خارجية ، مثل Google Chrome أو Mozilla Firefox ، لحل ثغرة أمنية.

ومع ذلك ، في نظام iOS ، لا تقتصر المشكلة أيضًا على Safari ولا يمكن التغلب عليها بالانتقال إلى Chrome أو متصفح آخر تابع لجهة خارجية. ذلك لأن Apple لا تسمح لمتصفحات الويب iOS باستخدام محرك مستعرض تابع لجهة خارجية على iPhone و iPad.

يمكن للمستخدمين الحد من تسرب البيانات عن طريق تعطيل JavaScript على متصفحهم في الوقت الحالي. لكن هذا سيؤثر على تجربتهم حيث أن معظم المواقع في الوقت الحاضر تستخدم JavaScript لتوفير تصفح حديث.

أبلغ FingerprintJS عن المشكلة إلى WebKit Bug Tracker في 28 نوفمبر. ومع ذلك ، لا يزال الخلل موجودًا.

تواصلت Gadgets 360 مع Apple للتعليق على الثغرة الأمنية وما إذا كانت تعمل على إصلاحها. سيتم تحديث هذه المقالة عندما تستجيب الشركة.

الثغرات التي تؤثر على Safari ليست شيئًا جديدًا. في العام الماضي ، اضطرت شركة Apple إلى إعادة إصدار متصفحها لإصلاح مشكلات الأمان والأخطاء التي أحدثها تحديث سابق. أحدث إصدار من Safari (الإصدار 15.2) الذي تم إصداره في ديسمبر ، أصلح أيضًا ستة مشكلات أمنية معروفة في WebKit كانت موجودة في الإصدارات السابقة ويمكن أن يسمح للمهاجمين بالوصول إلى بيانات المستخدم بشكل ضار.