فرارو-شرکت امنیتی FingerprintJS اخیرا متوجه باگ جدیدی در مرورگر سافاری شده است. به تازگی مشخص شده که این مرورگر به هر وب سایتی اجازه ردیابی تاریخچه (history) مرورگر شما و حتی امکان ردیابی برخی اطلاعات مربوط به حساب کاربری گوگل شما را نیز میدهد!
به گزارش فرارو، این باگ به هر وبسایتی اجازه میدهد سابقه مرورگر و حتی برخی از اطلاعات مربوط به حساب کاربری Google افراد را ردیابی کند. ویژگی IndexedDB در مک و IOS اجازه مشاهده نام پایگاه داده هر دامنهای را به وب سایتها میدهد، سپس میتوانند از نام این پایگاه دادهها برای استخراج اطلاعات شناسایی استفاده نمایند.
به عنوان مثال، سرویسهای Google، یک نمونه IndexedDB را برای هر یک از حسابهای وارد شده شما ذخیره میکنند. سایتهای مخرب میتوانند به این موارد دسترسی داشته باشند و از آن طریق به اطلاعات دیگر، مانند تصویر نمایه حساب گوگل شما دسترسی پیدا کنند. تقریباً هر سایتی که از IndexedDB JavaScript API استفاده میکند، میتواند در برابر چنین اتفاقی دچار آسیب شود.
متأسفانه، در حال حاضر برای رفع باگ سافاری به جز مسدود کردن کامل جاوا اسکریپت در سایتهای غیرقابل اعتماد، کار دیگری نمیتوان انجام داد. بدیهی است که راه حل مناسب برای برطرف شدن این مشکل، تنها توسط اپل باید ارائه شود. مرورگرهایی مانند کروم فقط به وبسایتها اجازه میدهند که به پایگاههای اطلاعاتی موجود در IndexedDB که با همان نام دامنه خودشان ایجاد شده است دسترسی داشته باشند، اکنون وقت آن است که اپل نیز همین روش را در سافاری انجام دهد. شرکت FingerprintJS میگوید که در تاریخ ۲۸ نوامبر نیز این باگ را به اپل گزارش کرده است، اما هنوز راه حلی برای برطرف کردن این مشکل ارائه نشده است.
منبع: gizmochina
