آپدیت iOS 15.3 اپل باگ امنیتی مهم سافاری را برطرف می کند • تکنو بابل

اپل به تازگی iOS 15.3 را منتشر کرده است، و در حالی که این آخرین به روز رسانی هیچ ویژگی جدید قابل توجهی اضافه نمی کند، حداقل یک نقص امنیتی مهم را برطرف می کند. در اوایل این ماه، مهندس نرم‌افزار مارتین باجانیک از FingerprintJS یک آسیب‌پذیری جدی را در Safari 15، مرورگر موجود در iOS 15 و iPadOS 15 پیدا کرد که می‌تواند اطلاعات تاریخچه مرور و حتی اعتبارنامه‌های سرویس‌های آنلاینی را که شخص استفاده می‌کند، مانند Google، درز کند. یوتیوب، آمازون و سایت هایی که از وردپرس استفاده می کنند.

همانطور که باجانیک توضیح می دهد، بسیاری از وب سایت ها از یک API به نام IndexedDB استفاده می کنند تا از مرورگرهایی مانند Safari و Chrome درخواست کنند که اطلاعات را در یک پایگاه داده محلی در دستگاه شخص ذخیره کنند. در شرایط عادی، یک وب‌سایت معین فقط باید بتواند اطلاعاتی را درباره پایگاه‌های داده‌ای که ایجاد کرده است درخواست کند – هر وب‌سایتی باید برای آن نامرئی باشد.

متأسفانه، مشخص شد که مرورگر سافاری در iOS 15 دقیقاً این قوانین را رعایت نکرده است. اگرچه هیچ اطلاعات ذخیره شده در آن پایگاه داده را ارائه نمی کرد، اما با خوشحالی لیست کاملی از تمام پایگاه های داده محلی را برای هر وب سایتی که درخواست می کرد ارائه می کرد.

در حالی که این ممکن است در ظاهر نسبتاً بی ضرر به نظر برسد، مشکل این است که بسیاری از سرویس ها از اطلاعات حساس برای این نام های پایگاه داده استفاده می کنند. به عنوان مثال، Google از یک شناسه داخلی منحصر به فرد و مخصوص کاربر استفاده می کند که به هر کسی که وارد حساب Google خود شده است اجازه می دهد "به طور منحصر به فرد و دقیق شناسایی شود." Bajanaik خاطرنشان می‌کند که این شناسه کاربری Google حتی می‌تواند به APIهای Google وارد شود تا اطلاعات عمومی مالک حساب، مانند نام و تصویر نمایه آنها را جمع‌آوری کند.

بدتر از همه، این نه تنها به یک وب سایت مخرب اجازه می دهد تا هویت کاربر را بیاموزد، بلکه می تواند برای دریافت لیستی از چندین حساب متعلق به یک شخص مورد استفاده قرار گیرد. این می‌تواند باعث نقض جدی حریم خصوصی در موقعیت‌هایی شود که شخصی از یک حساب کاربری ناشناس استفاده می‌کند که به هیچ وجه با هویت شخصی او مرتبط نیست. هکری که از این نقص سوء استفاده می کند می تواند با کشف اینکه یک فرد اطلاعاتی برای هر دو حساب ذخیره شده در مرورگر خود دارد، ارتباط برقرار کند.

همچنین به نظر می رسد که بهره برداری از این نقص آسان باشد. Bajanaik توضیح می‌دهد که «برگه یا پنجره‌ای که در پس‌زمینه اجرا می‌شود و دائماً از IndexedDB API برای پایگاه‌های داده موجود پرس و جو می‌کند، می‌تواند به وب‌سایت‌های دیگری که کاربر در زمان واقعی بازدید می‌کند، بیاموزد،» به هکرها این امکان را می‌دهد که داده‌های مربوط به اهداف را به سادگی با قرار دادن کدهای مخرب در یک برنامه جمع‌آوری کنند. وب سایت به ظاهر قانونی

اصلاحات امنیتی در iOS 15.3

در مقایسه با ویژگی‌های هیجان‌انگیزی که در آخرین نسخه‌های اصلی iOS وارد شد، به‌روزرسانی این هفته iOS 15.3 ممکن است بسیار خسته‌کننده به نظر برسد، اما نباید آن را ساده تلقی کرد. در واقع، به روز رسانی به iOS 15.3 در اسرع وقت از اهمیت بیشتری برخوردار است.

iOS 15.3 نه تنها این حفره امنیتی بسیار بد در Safari را برطرف می‌کند، بلکه طبق یادداشت‌های انتشار اپل ، 9 اصلاح امنیتی مهم دیگر وجود دارد، از جمله یکی که اپل خاطرنشان می‌کند «ممکن است به طور فعال مورد سوء استفاده قرار گرفته باشد».

آسیب‌پذیری‌های امنیتی دیگری که در iOS 15.3 برطرف شده‌اند شامل یک باگ iCloud است که به برنامه‌ها اجازه می‌دهد امنیت را دور بزنند و به فایل‌های کاربر دسترسی پیدا کنند، به‌علاوه چندین سناریو دیگر که در آن برنامه‌های مخرب می‌توانند راه‌هایی برای به دست آوردن امتیازات روت یا اجرای خودسرانه کد برای انجام کارهایی که نباید بیابند، بیابند. مجاز به انجام

کوکی	مدت	توضیحات
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

اصلاحات امنیتی در iOS 15.3

مربوط

Related News