اكتشاف ثغرة أمنية في متصفح سفاري قد يسرب بياناتك الشخصية

رصدت تقارير صحفية، وجود ثغرة كبيرة في متصفح 'سفاري' Safari 15 الخاص بأجهزة شركة أبل، يمكن أن يؤدي إلى تسريب نشاط التصفح الخاص بك، ويمكنه أيضًا الكشف عن بعض المعلومات الشخصية المرفقة بحساب Google الخاص بك، وفقًا لنتائج موقع FingerprintJS، وهي خدمة بصمة المتصفح وكشف الاحتيال.

ووفقا لموقع 9to5Mac المتخصص في نشر كل ما هو جديد في عالم التكنولوجيا وكل الجديد في أجهزة أبل، فإن الثغرة الأمنية تأتي من مشكلة في تطبيق أبل لـ IndexedDB ، وهي واجهة برمجة تطبيقات (API) تخزن البيانات على متصفحك.

وكما أوضحت FingerprintJS، فإن IndexedDB تلتزم بسياسة المصدر نفسه، والتي تقيد مصدرًا واحدًا من التفاعل مع البيانات التي تم جمعها من مصادر أخرى، بشكل أساسي، فقط موقع الويب الذي ينشئ البيانات يمكنه الوصول إليها. على سبيل المثال، إذا فتحت حساب بريدك الإلكتروني في علامة تبويب ثم فتحت صفحة ويب ضارة في علامة تبويب أخرى، فإن سياسة المصدر نفسه تمنع الصفحة الضارة من عرض بريدك الإلكتروني والتدخل فيه.

واكتشف FingerprintJS أن تطبيق Apple لـ IndexedDB API في Safari 15 ينتهك بالفعل سياسة المصدر نفسه. عندما يتفاعل موقع ويب مع قاعدة بيانات في Safari ، تقول FingerprintJS إنه 'يتم إنشاء قاعدة بيانات جديدة (فارغة) تحمل الاسم نفسه في جميع الإطارات وعلامات التبويب والنوافذ النشطة الأخرى في نفس جلسة المتصفح'.

وأنشأ FingerprintJS عرضًا توضيحيًا لإثبات المفهوم يمكنك تجربته إذا كان لديك Safari 15 وما فوق على جهاز Mac أو iPhone أو iPad. يستخدم العرض التوضيحي ثغرة IndexedDB في المتصفح لتحديد المواقع التي فتحتها (أو فتحتها مؤخرًا)، ويوضح كيف يمكن للمواقع التي تستغل الخطأ استخراج المعلومات من معرف مستخدم Google الخاص بك. لا يكتشف حاليًا سوى 30 موقعًا شهيرًا متأثرًا بالخلل، مثل Instagram وNetflix وTwitter وXbox، ولكن من المحتمل أن يكون له تأثير أكبر بكثير.

ولسوء الحظ، ليس هناك الكثير الذي يمكنك فعله للتغلب على هذه المشكلة، حيث تقول FingerprintJS إن الخطأ يؤثر أيضًا على وضع التصفح الخاص في Safari. يمكنك استخدام متصفح مختلف على macOS، لكن حظر محرك متصفح الطرف الثالث من Apple على iOS يعني أن جميع المتصفحات تتأثر.