کمیته رکن چهارم – یک آسیبپذیری جدی و خطرناک در مرورگر سافاری شناسایی شده است.
یک باگ نرمافزاری جدید و خطرناک در مرورگر اپل سافاری شناسایی شده که امکان ردیابی میانسایتی کاربران توسط وبسایتهای مخرب را ممکن کرده است.
باگ نرمافزاری در مرورگر اپل سافاری ۱۵ معرفی شده که وبسایتهای مخرب میتوانند با استفاده از آن، فعالیت آنلاین کاربر در مرورگر را ردیابی و هویت آن را فاش کنند.
این آسیبپذیری با نام IndexedDB Leaks توسط شرکت FingerprintJS (فینگرپرینت جی اس) افشا و به شرکت اپل گزارش شد.
IndexedDB (ایندکسد دی بی) یک رابط برنامهنویسی اپلیکیشن جاوا اسکریپت سطح پایین است که به منظور مدیریت پایگاه داده NoSQL مواردی مانند فایلها توسط مرورگرهای وب ارائه میشود.
IndexedDB نیز مانند دیگر راهکارهای ذخیرهسازی وب، سیاست امنیتی خاستگاه مشترک را دنبال میکند. (سیاست خاستگاه مشترک یک ویژگی امنیتی است که در پیادهسازی جاوا اسکریپت در بیشتر مرورگرهای مطرح و همچنین دیگر تکنولوژیهای مورد استفاده در بستر مرورگر، همچون Flash کاربرد دارد. این سیاست در اصل به شما اجازه میدهد به صفحات موجود در یک سایت/دامنه درخواست دهید، اما مانع از این میشود که به صفحات مستقر بر روی دیگر دامنه ها، زیردامنه یا از طریق یک پروتکل دیگر، درخواست ارسال کنید)
محققان امنیتی مدعی هستند IndexedDB API در سافاری ۱۵ مک او اس و تمامی مرورگرهای آی او اس و آی پد او اس ۱۵ این سیاست را زیر پا گذاشته است.
در هر فعل و انفعال یک وبسایت با پایگاه داده، یک دیتابیس (خالی) جدید با همان نام در دیگر فریمهای فعال، پنجرهها و صفحهها ایجاد میشود.
نقض حریم خصوصی نام برده، این امکان را به وبسایتها میدهد تا بازدیدهای کاربر از وبسایتهای دیگر را در صفحات دیگر مشاهده کنند.
این باگ به وبسایتها اجازه میدهد تا هویت کاربران را شناسایی کنند و حسابهای جداگانه مورد استفاده کاربر را به یکدیگر ارتباط دهند.
این باگ حالت خصوصی جستوجو در سافاری ۱۵ را نیز تحتالشعاع قرار میدهد.
محققان این موضوع را یک باگ بسیار بزرگ برشمردند و به کاربران مرورگر سافاری پیشنهاد کردهاند تا اطلاع ثانوی به منظور جلوگیری از نشت دادههایشان از مرورگر دیگری استفاده کنند.
منبع: سایبربان
