يسمح خطأ في سفاري بالاستيلاء على سجل المتصفح من أجهزة أيفون و آيباد و ماك. من خلال استغلال اختراق خطير، يمكن لأي موقع ويب ضار اكتشاف جميع المواقع التي قمت بزيارتها بالإضافة إلى معرف جوجل .
اكتشفت شركة FingerprintJS المتخصصة في الكشف عن الاحتيالات عبر الإنترنت، خطأً خطيرًا في سفاري، محرك البحث المدمج افتراضيًا على أجهزة أيفون وأيباد و ماك. في نُشر على مدونتها في 14 يناير 2022، أوضحت الشركة أنها اكتشفت عطلاً في تنفيذ IndexedDB ، وهي واجهة برمجة تطبيقات قادرة على تخزين البيانات في متصفح سفاري على ماك و آي أو إس.
بسبب هذا العطل، فإن أي موقع ويب قادر على التقاط بيانات عن زواره. توضح FingerprintJS في تقريرها: “يسمح الخلل لمواقع الويب بمعرفة مواقع الويب التي يزورها المستخدم في علامات تبويب أو نوافذ مختلفة”. في النهاية، يكون سجل التصفح تحت تصرف المواقع الاحتيالية.”
من خلال استغلال الاختراق، يمكن لأي موقع ويب أيضًا سرقة معرف مستخدم جوجل . يمكن تحديد المستخدمين المصادق عليهم بشكل فريد ودقيق. بعض الأمثلة الأكثر شيوعًا هي يوتيوب و تقويم جوجل. كل هذه المواقع تنشئ قواعد بيانات تتضمن معرف مستخدم جوجل المصادق عليه.
بوجود هذا المعرف في متناول اليد، يمكن لموقع ويب ضار جمع البيانات من حسابك. باستخدام الخلل الموصوف في تقريرها، نجح الباحثون بشكل ملحوظ في سرقة الصورة الرمزية للمستخدم. باستخدام هذه الصورة، من السهل العثور على الشخص على الشبكات الاجتماعية، على فيسبوك على وجه الخصوص.
تحذر FingerprintJS، التي توضح أن تسريب البيانات لا يتطلب أي إجراء من المستخدم، حيث يمكن لمواقع الويب غير الجديرة بالثقة أو الضارة معرفة هوية المستخدم، ولكنها تسمح أيضًا بربط عدة حسابات منفصلة يستخدمها نفس المستخدم.
تتأثر جميع مواقع الويب التي تستخدم IndexedD JavaScript API تقريبًا بهذا الاختراق الهائل. لللإشارة، فالخلل يؤثر فقط على سفاري 15 ، أحدث إصدار من متصفح الويب. إذا كنت لا تزال تستخدم إصدارًا أقدم من المتصفح، فلا داعي للقلق. نظرًا لإدراكها للخطأ، تعمل أبل حاليًا على تطوير حل ملائم.
