सैन फ्रांसिस्को: एप्पल ब्राउजर सफारी 15 में एक सॉफ्टवेयर बग किसी भी वेबसाइट को आपकी इंटरनेट गतिविधि को ट्रैक करने देता है और यहां तक कि मैकओएस, आईओएस और आईपैडओएस 15 के माध्यम से आपकी पहचान भी प्रकट करता है, एक नई रिपोर्ट के अनुसार। बग आपकी Google उपयोगकर्ता आईडी को अन्य वेबसाइटों पर भी प्रदर्शित कर सकता है।
इस मामले में, सफारी 15 ब्राउज़र में निजी मोड देखने पर भी भेद्यता से प्रभावित होने का संदेह है।
फ़िंगरप्रिंटजेएस, एक ब्राउज़र फ़िंगरप्रिंटिंग और धोखाधड़ी का पता लगाने वाली सेवा, ने पाया कि बग Apple के IndexedDB के कार्यान्वयन के साथ एक समस्या से उपजा है, एक एप्लिकेशन प्रोग्रामिंग इंटरफ़ेस (API) जो आपके ब्राउज़र पर डेटा संग्रहीत करता है।
फ़िंगरप्रिंटजेएस ने एक बयान में कहा, “इंडेक्सडडीबी क्लाइंट-साइड स्टोरेज के लिए एक ब्राउज़र एपीआई है जिसे महत्वपूर्ण मात्रा में डेटा रखने के लिए डिज़ाइन किया गया है। यह सभी प्रमुख ब्राउज़रों में समर्थित है और इसका आमतौर पर उपयोग किया जाता है।”
रिपोर्ट में कहा गया है कि 30 से अधिक वेबसाइटें बिना किसी अतिरिक्त उपयोगकर्ता सहभागिता या प्रमाणित करने की आवश्यकता के सीधे अपने होमपेज पर अनुक्रमित डेटाबेस के साथ बातचीत करती हैं।
फ़िंगरप्रिंटजेएस टीम ने कहा, “हमें वास्तविक दुनिया के परिदृश्यों में यह संख्या काफी अधिक होने का संदेह है क्योंकि वेबसाइटें उप-पृष्ठों पर डेटाबेस के साथ बातचीत कर सकती हैं, विशिष्ट उपयोगकर्ता क्रियाओं के बाद, या पृष्ठ के प्रमाणित हिस्सों पर।”
अधिकांश आधुनिक वेब ब्राउज़र तकनीकों की तरह, IndexedDB समान-मूल नीति का पालन कर रहा है।
समान-मूल नीति एक मौलिक सुरक्षा तंत्र है जो प्रतिबंधित करता है कि एक मूल से लोड किए गए दस्तावेज़ या स्क्रिप्ट अन्य मूल के संसाधनों के साथ कैसे इंटरैक्ट कर सकते हैं।
उदाहरण के लिए, यदि आप एक टैब में अपना ईमेल खाता खोलते हैं और फिर दूसरे में एक दुर्भावनापूर्ण वेबपेज खोलते हैं, तो समान-मूल नीति दुर्भावनापूर्ण पृष्ठ को आपके ईमेल को संक्रमित करने से रोकती है।
“MacOS पर Safari 15 में, और iOS और iPadOS 15 पर सभी ब्राउज़रों में, IndexedDB API समान-मूल नीति का उल्लंघन कर रहा है,” फ़िंगरप्रिंटजेएस ने कहा।
हर बार जब कोई वेबसाइट किसी डेटाबेस से इंटरैक्ट करती है, तो उसी ब्राउज़र सत्र के भीतर अन्य सभी सक्रिय फ़्रेम, टैब और विंडो में समान नाम वाला एक नया (खाली) डेटाबेस बनाया जाता है।
विंडोज और टैब आमतौर पर एक ही सत्र साझा करते हैं, जब तक कि आप एक अलग प्रोफ़ाइल पर स्विच नहीं करते हैं, उदाहरण के लिए क्रोम में, या एक निजी विंडो नहीं खोलते हैं।
इसका मतलब है कि अन्य वेबसाइटें अन्य साइटों पर बनाए गए अन्य डेटाबेस के नाम देख सकती हैं, जिसमें आपकी पहचान के लिए विशिष्ट विवरण हो सकते हैं।
फ़िंगरप्रिंटजेएस ने लीक की सूचना दी लेकिन सफारी के लिए अभी तक कोई अपडेट नहीं आया है।
उन्होंने कहा, “तथ्य यह है कि डेटाबेस के नाम अलग-अलग मूल में लीक होते हैं, यह एक स्पष्ट गोपनीयता उल्लंघन है। यह मनमानी वेबसाइटों को यह जानने देता है कि उपयोगकर्ता विभिन्न टैब या विंडो में किन वेबसाइटों पर जाता है।”
#मूक
.
