كشف موقع FingerprintJS عن ثغرة في متصفح سفاري Safari 15 الخاص بآبل على أجهزة ماك وآيفون، والتي تؤدي إلى تسريب نشاط التصفح الخاص بالمستخدم.
كما ويمكن عبر هذه الثغرة الكشف عن بعض المعلومات الشخصية المرفقة بحساب جوجل Google.
وتنتج الثغرة الأمنية بشكل رئيسي عن مشكلة في خدمة قاعدة البيانات المفهرسة IndexedDB، وهي واجهة برمجة تطبيقات (API) تخزن البيانات على المتصفح.
وتلتزم الخدمة IndexedDB بسياسة المصدر نفسه، والتي تقيد مصدراً ما من التفاعل مع البيانات التي يتم جمعها من مصادر أخرى، أي أنه فقط موقع الويب الذي ينشئ البيانات هو الذي يمكنه الوصول إليها.
على سبيل المثال، إذا فتحت حساب البريد الإلكتروني في علامة تبويب ثم فتحت صفحة ويب ضارة في علامة تبويب أخرى، فإن سياسة المصدر نفسه تمنع الصفحة الضارة من عرض بريدك الإلكتروني والتداخل معه.
واكتشف موقع FingerprintJS أن تطبيق Apple الخاص ب IndexedDB API في Safari 15 ينتهك بالفعل سياسة المصدر نفسه.
فعندما يتفاعل موقع ويب مع قاعدة بيانات في سفاري 15 Safari يتم إنشاء قاعدة بيانات جديدة (فارغة) تحمل الاسم نفسه في جميع الإطارات وعلامات التبويب والنوافذ النشطة الأخرى في نفس جلسة المتصفح.
هذا يعني أن مواقع الويب الأخرى يمكنها رؤية أسماء قواعد البيانات الأخرى التي تم إنشاؤها على مواقع أخرى، والتي قد تحتوي على تفاصيل خاصة بهويتك.
ولاحظ الموقع أن المواقع التي تستخدم حساب جوجل Google، مثل YouTube وتقويم Google و Google Keep، تنشئ جميعها قواعد بيانات بمعرف مستخدم Google الفريد الخاص بك في قاعدة بياناتها.
حيث يسمح معرف مستخدم جوجل Google الخاص بالمستخدم لجوجل بالوصول إلى المعلومات المتاحة للجمهور، مثل صورة الملف الشخصي، وهذه المعلومات يمكن أن يكشفها متصفح سفاري Safari عن طريق الخطأ لمواقع الويب الأخرى.
وكشف الموقع عن حوالي 30 موقع شهير متأثر بالخلل، مثل إنستغرام Instagram ونتفليكس Netflix وتويتر Twitter وإكس بوكس Xbox، ويُتوقع أن يكون المواقع المتأثرة أكثر من ذلك بكثير.
لسوء الحظ، ليس هناك الكثير مما يمكنك فعله للتغلب على هذه المشكلة، حيث تقول FingerprintJS أن الخطأ يؤثر أيضاً على وضع التصفح الخاص في Safari.
ولم تعلق شركة آبل حول هذا الأمر حتى الآن.