به گزارش کارگروه امنیت سایبربان؛ باگ نرم افزاری در مرورگر اپل سافاری 15 معرفی شده که وبسایت های مخرب می توانند با استفاده از آن، فعالیت آنلاین کاربر در مرورگر را ردیابی و هویت آن را فاش کنند.
این آسیب پذیری با نام IndexedDB Leaks توسط شرکت FingerprintJS (فینگرپرینت جی اس) افشا و به شرکت اپل گزارش شد.
IndexedDB (ایندکسد دی بی) یک رابط برنامه نویسی اپلیکیشن جاوا اسکریپت سطح پایین است که به منظور مدیریت پایگاه داده NoSQL مواردی مانند فایل ها توسط مرورگرهای وب ارائه می شود.
IndexedDB نیز مانند دیگر راهکارهای ذخیره سازی وب، سیاست امنیتی خواستگاه مشترک را دنبال می کند. (سیاست خاستگاه مشترک یک ویژگی امنیتی است که در پیاده سازی جاوا اسکریپت در بیشتر مرورگرهای مطرح و همچنین دیگر تکنولوژی های مورد استفاده در بستر مرورگر، همچون Flash کاربرد دارد. این سیاست در اصل به شما اجازه می دهد به صفحات موجود در یک سایت/دامنه درخواست دهید، اما مانع از این می شود که به صفحات مستقر بر روی دیگر دامنه ها، زیردامنه یا از طریق یک پروتکل دیگر، درخواست ارسال کنید)
محققین امنیتی مدعی هستند IndexedDB API در سافاری 15 مک او اس و تمامی مرورگرهای آی او اس و آی پد او اس 15 این سیاست را زیر پا گذاشته است.
در هر فعل و انفعال یک وبسایت با پایگاه داده، یک دیتا بیس (خالی) جدید با همان نام در دیگر فریم های فعال، پنجره ها و صفحه ها ایجاد می شود. (در همان جلسه مرورگر)
نقض حریم خصوصی نام برده، این امکان را به وبسایت ها می دهد تا بازدید های کاربر از وبسایت های دیگر در صفحات دیگر را مشاهده کنند.
این باگ به وبسایت ها اجازه می دهد تا هویت کاربران را شناسایی کنند و حساب های جداگانه مورد استفاده کاربر را به یکدیگر ارتباط دهند.
این باگ حالت خصوصی جستجو در سافاری 15 را نیز تحت الشعاع قرار می دهد.
محققین این موضوع را یک باگ بسیار بزرگ برشمردند و به کاربران مرورگر سافاری پیشنهاد کرده اند تا اطلاع ثانوی به منظور جلوگیری از نشت داده هایشان، از مرورگر دیگری استفاده کنند.
