أخبار الانترنتأخبار التقنيةالأمن الألكتروني

شركة Apple تعمل على إصلاح خطأ في Safari يتيح الوصول إلى معرف Google الخاص بك

تم الإبلاغ مؤخرًا عن خطأ خطير في Safari قد يسمح لمواقع الويب بتتبع سجل التصفح ومعرف Google على iOS 15 و iPadOS 15. الآن، أصدرت Apple إصلاحًا.

يلاحظ Apple Insider أن Apple تعمل حاليًا على حل الخطأ. حيث تعمل Apple على إصلاح خطأ Safari الذي لا يمكنك فعل أي شيء حياله.
منذ بضعة أيام،

أبلغنا عن الخطأ الذي وجده الباحثون أثر هذا الخطأ على طريقة عمله. قامت Apple بتطبيق IndexedDB API في الإصدار 15. من Safari تم العثور على خطأ يسمح لأي موقع ويب بتحديد هوية المستخدم من خلال قياس نشاط الإنترنت الخاص به.

هذا الخطأ الخطير للغاية على وشك الحصول على حله من Apple حيث يستعد كوبرتينو الآن لإصلاحه. سيكون إصلاح الخطأ متاحًا على GitHub في الوقت الحالي. لم يتم طرح الإصلاح بعد وسيكون متاحًا عندما يأتي التحديث لنظامي التشغيل iOS 15 و iPadOS 15 و macOS Monterey.

على الأقل تم الاعتراف بالخطأ. قد نتمكن من توقع تحديث قريبًا.

ما هو هذا الخطأ في سفاري بالضبط؟

يؤثر هذا الخطأ على iOS 15 و macOS Mojave و Safari 15. تم العثور على الخطأ في واجهة برمجة التطبيقات (API) التي تستخدمها معظم المتصفحات ويمكن للمهاجمين استخدامها لاكتشاف العديد من الأشياء حول تصفح المستخدمين. يُطلق على عدد كبير جدًا من البيانات ليتم تخزينها في IndexedDB API اسم IndexedDB، وتحتوي على كمية كبيرة من البيانات.

يجب أن تسمح واجهة برمجة التطبيقات هذه فقط لموقع الويب بالوصول إلى البيانات التي أنشأها وليس الوصول إلى بيانات مواقع الويب الأخرى. ومع ذلك، يحتوي Safari 15 على خطأ ينتهك هذه السياسة. يدعي الباحثون الذين اكتشفوا الخطأ أنه عندما يتفاعل موقع ويب مع واجهة برمجة التطبيقات الخاصة به من خلال نظام التشغيل Safari، سيظهر الخطأ ويمكّن طرفًا ثالثًا من عرض سجل تصفح الفرد. يتم إنشاء قاعدة بيانات جديدة في API. يتم إنشاء قاعدة بيانات فارغة جديدة تحمل الاسم نفسه في جميع الإطارات والنوافذ النشطة في نفس جلسة المتصفح.

في الأساس، يسمح الخطأ لمواقع الويب بالوصول إلى معرف Google الخاص بك. يمكن أن تقدم للمهاجم الكثير من المعلومات الشخصية عنك. يمكن استخدام هذا لتحديد حساب Google معين والكشف عن صورة ملفك الشخصي. بالإضافة إلى ذلك، يمكن أن يزود المتسلل بمعلومات تسمح له أو لها بالكشف عن حسابات متعددة باستخدام نفس معرف Google. احتفظ بحساب واحد لكل مستخدم.

لسوء الحظ، يسمح هذا الخطأ للمتسلل بالوصول إلى هذه المعلومات دون أن تفعل أي شيء على وجه الخصوص (لا يلزم النقر فوق روابط غريبة أو تنزيل صور click-baity). إليك ما ذكره تقرير الباحثين: علامة تبويب أو نافذة تعمل في الخلفية وترسل باستمرار حزم البيانات. اطلب من IndexedDB API العثور على جميع قواعد البيانات المتاحة. بدلاً من ذلك، يمكنك فتح موقع ويب آخر في إطار iframe أو نافذة منبثقة، والتي ستؤدي إلى تسريبات تستند إلى قاعدة بيانات مفهرسة لهذا الموقع المحدد.

هل هناك طريقة لحماية نفسك؟

لسوء الحظ، هناك القليل من مستخدمي Safari الذين يمكنهم القيام به حيال الموقف بخلاف انتظار Apple لإصلاح هذا الخطأ. من الممكن حظر JavaScript افتراضيًا وتمكينه فقط على مواقع الويب الموثوقة، ولكن هذا قد يضر بأداء مواقعنا الإلكترونية. تجربة تصفح.

حل آخر ممكن هو إيقاف تشغيل المتصفح الخاص بك. اعترف الباحثون بأن الحماية الحقيقية الوحيدة ضد هذا الخطأ هي أن Apple تصدر إصلاحًا وتقوم بتحديث جهازك (iPhone iPad أو Mac) بمجرد إصداره.

حتى الآن، من غير المعروف متى ستكمل Apple الإصلاح ومتى سيتم طرح التحديث. عندما نعرف المزيد سنخبرك بذلك. ابقوا متابعين!

المصدر

Mohamed Elsayed

Senior Linux admin & Web developer

اترك تعليق

زر الذهاب إلى الأعلى

بدعمكم نواصل العطاء

يبدو أنك تستخدم إضافة لحجب الإعلانات، برجاء استثناء الموقع من حجب الإعلانات لديك من أجل تجربة تصفح أفضل لموقعنا.