ثغرة خطيرة في متصفح سفاري تتيح تسريب البيانات الشخصية

هناك ثغرة جديدة في متصفح سفاري تتيح تسريب البيانات الشخصية للمستخدمين أثناء التصفح وقد كشفها أحد الباحثين الأمنيين وعرضها تفصيلاً على مدونته الشخصية FingerprintJS.

الثغرة تسمح بتسريب البيانات المتعلقة بتاريخ التصفح والمواقع التي قام المستخدم بزيارتها حديثاً، بالإضافة إلى معلومات متعلقة بحساب جوجل الخاص بك في حالة تسجيل الدخول من خلال متصفح سفاري.

الثغرة تحديداً منشأها ما يُعرف بـ “قاعدة البيانات المفهرسة” أو الـ “IndexedDB” وهي التي تقوم بجمع وتخزين البيانات في شكل قواعد بيانات.

أثناء التصفح يمكن لأي موقع تقوم بزيارته الإطلاع على قواعد البيانات الخاصة بجميع المواقع الأخرى التي زرتها سابقاً إذ تكون بياناتها مخزنة في قاعدة البيانات المفهرسة IndexedDB.

على سبيل المثال، تقوم خدمات جوجل بتخزين بياناتها في المتصفح في قاعدة البيانات المفهرسة وبجانب كل قاعدة بيانات الرقم التعريفي الخاص بحساب جوجل الذي تم تسجيل الدخول عبره.

يمكن للمواقع استغلال الثغرة لمعرفة الرقم التعريفي الخاص بحساب جوجل ومن ثم استخدامه لعمل طلب لها للكشف عن صورة الملف الشخصي الخاصة بصاحب الحساب.

في المتصفحات الأخرى مثل جوجل كروم وموزيلا فايرفوكس لا توجد تلك الثغرة، والوضع الطبيعي أن يكون بإمكان المواقع رؤية قاعدة البيانات الخاصة بنطاقه فقط ويقوم المتصفح بحجب باقي قواعد البيانات الخاصة بالمواقع الأخرى عنه.

وفقاً للباحث الأمني مكتشف الثغرة، فإنه قد أبلغ ابل بها منذ شهر نوفمبر الماضي إلا أن ابل لم تحرك ساكناً ولا زالت الثغرة موجودة دون إصلاح حتى الآن في متصفح سفاري على أجهزة الايفون والايباد بالإضافة إلى أجهزة ماك.

هذا يذكرنا بما حدث مؤخراً مع الثغرة الخطيرة التي كانت موجودة بتطبيق التحكم بالأجهزة المنزلية HomeKit وتم إبلاغ ابل بها قبل أشهر لكن لم تُحل المشكلة إلا بعد وصول الأمر للصحافة والمواقع الإخبارية.