باگی در یک API جاوا اسکریپت WebKit به نام IndexedDB ظاهرا میتواند نشان بدهد که اخیرا با مرورگر سافاری از چه وبسایتهایی بازدید کردهاید. این باگ که تمام مرورگرهای آیفون و آیپد را تحت تاثیر قرار میدهد، حتی ممکن است هویت شما را فاش کند.
به گزارش وبسایت FingerprintJS، این باگ به طور خلاصه به هر سایتی که از IndexedDB استفاده میکند، اجازه میدهد به اسامی پایگاه دادگاه IndexedDB که در طول وبگردی توسط سایر سایتها ساخته شده، دسترسی داشته باشد. وبسایتها با این باگ میتوانند مطلع شوند که کاربر در دیگر زبانهها یا پنجرههای مرورگر از چه سایتهایی بازدید کرده است. در حالت عادی اما هر وبسایت فقط باید بتواند به پایگاه داده IndexedDB خودش دسترسی داشته باشد.
باگ سافاری حتی میتواند هویت کاربر را لو بدهد
سایتهای اینترنتی گاهی اوقات برای اسامی پایگاه داده IndexedDB از شناسههای یکتا استفاده میکنند. برای مثال، یوتیوب پایگاه دادهای میسازد که نام آن شامل آیدی کاربری احراز هویتشدهی فرد در سرویسهای گوگل است. API گوگل از این شناسه برای دریافت اطلاعات شخصی کاربر از جمله تصویر پروفایل او استفاده میکند. در نتیجه، با استفاده از این باگ حتی میتوان به هویت فرد دسترسی پیدا کرد.
باگ IndexedDB در نسخههای جدید مرورگر اپل از جمله سافاری 15 مک و سافاری iOS 15 و iPadOS 15 وجود دارد. این باگ حتی روی کروم در iOS 15 فعال است، چون اپل استفاده از WebKit را برای همه مرورگرهای آیفون و آیپد ضروری کرده است. وبسایتها برای دسترسی به اسامی این پایگاه داده لازم نیست منتظر هیچ اقدامی از سوی کاربر باشند. وبسایت FingerprintJS میگوید:
«زبانه یا پنجرهای که در پسزمینه اجرا میشود و بهطور مداوم درباره پایگاههای داده از IndexedDB API پرسوجو میکند، میتواند متوجه شود که کاربر بهشکل همزمان در چه سایتهای دیگری حضور دارد. بهعلاوه، وبسایتها میتوانند صفحاتی را بهصورت iframe یا پاپآپ باز کنند تا اطلاعات کاربر روی یک سایت مشخص را به دست آورند.»
استفاده از حالت Private کمکی به جلوگیری از این باگ نمیکند. کاربران صرفا باید منتظر اپل بمانند تا از طریق یک آپدیت نرمافزاری این مشکل را حل کند. البته توصیه میشود که در مک از سایر مرورگرها استفاده کنید، اما اگر کاربر آیفون یا آیپد هستید، حتی در صورت تغییر مرورگر نمیتوانید از گزند این باگ در امان باشید.