सफारी 15 में एक भेद्यता पाई गई है जो आपकी ब्राउज़िंग गतिविधि को लीक कर रही है और यहां तक कि बुरे अभिनेताओं को आपकी पहचान जानने की अनुमति दे रही है। इंडेक्सडडीबी के कार्यान्वयन में पेश किए गए बग के कारण यह समस्या सामने आई है, जो संरचित डेटा को स्टोर करने के लिए एप्लिकेशन प्रोग्रामिंग इंटरफेस (एपीआई) के रूप में काम करता है। MacOS के नवीनतम संस्करण के साथ-साथ iOS और iPadOS के उपयोगकर्ता भेद्यता से प्रभावित होते हैं। हालाँकि macOS उपयोगकर्ता तृतीय-पक्ष ब्राउज़र पर स्विच करके प्रभाव को दूर कर सकते हैं, iPhone या iPad वाले उपयोगकर्ताओं के पास इस समय ऐसा कोई उपाय नहीं है।
शुरू में की सूचना दी 9to5Mac द्वारा, ब्राउज़र फ़िंगरप्रिंट और धोखाधड़ी का पता लगाने वाली फर्म फ़िंगरप्रिंटजेएस ने सफारी 15 को प्रभावित करने वाली इंडेक्सडबीडी भेद्यता की खोज की है। एपीआई निम्नलिखित का अनुसरण करता है समान मूल नीति यह एक मूल से लोड किए गए दस्तावेज़ों और लिपियों को अन्य मूल के संसाधनों के साथ बातचीत करने के लिए प्रतिबंधित करने के लिए है। यह एक वेब ब्राउज़र को उस वेबसाइट से एक टैब में आपके सत्र को सुरक्षित करने में मदद करता है जिसे आपने दूसरे टैब पर एक्सेस किया है।
हालांकि, फ़िंगरप्रिंटजेएस के शोधकर्ताओं ने पाया है कि ऐप्पल का कार्यान्वयन अनुक्रमित डीबी नीति का उल्लंघन करता है। इसका परिणाम यह होता है कि एक हमलावर आपकी ब्राउज़िंग गतिविधि या आपकी पहचान से जुड़ी पहचान तक पहुंच प्राप्त करने के लिए इसका फायदा उठा सकता है गूगल कारण।
“हर बार जब कोई वेबसाइट किसी डेटाबेस के साथ इंटरैक्ट करती है, तो उसी ब्राउज़र सत्र के भीतर अन्य सभी सक्रिय फ़्रेम, टैब और विंडो में समान नाम वाला एक नया (खाली) डेटाबेस बनाया जाता है,” शोधकर्ताओं ने कहा। कहा भेद्यता की व्याख्या करते हुए।
दोष हैकर्स को यह जानने की अनुमति देता है कि आप विभिन्न टैब या विंडो में किन वेबसाइटों पर जा रहे हैं। यह आपकी Google उपयोगकर्ता आईडी को उन वेबसाइटों के अलावा अन्य वेबसाइटों के लिए भी उजागर करता है जहां आपने अपने Google खाते से लॉग इन किया है। Google उपयोगकर्ता आईडी वेबसाइटों को आपके प्रोफ़ाइल चित्र सहित आपके व्यक्तिगत पहचानकर्ताओं तक पहुंचने की अनुमति देता है। आखिरकार, हैकर्स उन पहचानकर्ताओं को शोषण करके देख सकते हैं सफारी भेद्यता।
फ़िंगरप्रिंटजेएस का दावा है कि उन वेबसाइटों की संख्या जो इंटरैक्ट कर सकती हैं और उपयोगकर्ताओं की ब्राउज़िंग गतिविधि और व्यक्तिगत पहचानकर्ताओं तक पहुंच प्राप्त कर सकती हैं, महत्वपूर्ण हो सकती हैं। दोष को प्रदर्शित करने के लिए शोधकर्ताओं द्वारा एक प्रूफ-ऑफ-कॉन्सेप्ट को भी सार्वजनिक किया गया है।
आप अपने पर डेमो का उपयोग कर सकते हैं Mac, आई – फ़ोन, या ipad जिसमें भेद्यता को देखने के लिए सफारी 15 है। यह वर्तमान में अलीबाबा, इंस्टाग्राम, ट्विटर और एक्सबॉक्स सहित लोकप्रिय साइटों का पता लगाता है ताकि यह सुझाव दिया जा सके कि एक साइट से डेटाबेस को दूसरों तक कैसे लीक किया जा सकता है। हालाँकि, समस्या इन्हीं तक सीमित नहीं है और अन्य साइटों पर जाने वाले उपयोगकर्ताओं को भी प्रभावित कर सकती है।
सफारी 15 में निजी मोड में स्विच करने वाले उपयोगकर्ता लीक के माध्यम से उपलब्ध जानकारी की सीमा को कम कर सकते हैं क्योंकि ब्राउज़र पर निजी ब्राउज़िंग सत्र एक टैब तक ही सीमित हैं। हालाँकि, यदि आप एक ही टैब में एक के बाद एक कई वेबसाइटों पर जाते हैं, तो आप अपना डेटा लीक कर देंगे।
मैक उपयोगकर्ता, फिर भी, किसी तृतीय-पक्ष ब्राउज़र पर स्विच कर सकते हैं, जैसे गूगल क्रोम या मोज़िला फ़ायरफ़ॉक्स, सुरक्षा खामियों को दूर करने के लिए।
हालांकि, पर आईओएस, समस्या केवल सफारी तक ही सीमित नहीं है और इसे क्रोम या किसी अन्य तृतीय-पक्ष ब्राउज़र में ले जाकर दूर नहीं किया जा सकता है। इसकी वजह यह है सेब iOS वेब ब्राउज़र को iPhone और iPad पर तृतीय-पक्ष ब्राउज़र इंजन का उपयोग करने की अनुमति नहीं देता है।
उपयोगकर्ता फिलहाल अपने ब्राउज़र पर जावास्क्रिप्ट को अक्षम करके डेटा रिसाव को सीमित कर सकते हैं। लेकिन यह उनके अनुभव को प्रभावित करेगा क्योंकि आजकल अधिकांश साइटें आधुनिक ब्राउज़िंग प्रदान करने के लिए जावास्क्रिप्ट का उपयोग करती हैं।
फ़िंगरप्रिंटजेएस ने 28 नवंबर को वेबकिट बग ट्रैकर को इस मुद्दे की सूचना दी। हालांकि, दोष अभी भी मौजूद है।
गैजेट्स 360 भेद्यता पर एक टिप्पणी के लिए ऐप्पल तक पहुंच गया है और क्या यह एक फिक्स पर काम कर रहा है। कंपनी के जवाब देने पर यह लेख अपडेट किया जाएगा।
सफारी को प्रभावित करने वाली कमजोरियां कोई नई बात नहीं है। पिछले साल, Apple को करना पड़ा था अपने ब्राउज़र को फिर से जारी करें सुरक्षा मुद्दों और बगों को ठीक करने के लिए जो पिछले अद्यतन द्वारा पेश किए गए थे। नवीनतम सफारी बिल्ड (संस्करण 15.2) जो दिसंबर में भी जारी किया गया था तय छह ज्ञात वेबकिट सुरक्षा समस्याएं जो पिछले संस्करणों में मौजूद थीं और हमलावरों को दुर्भावनापूर्ण रूप से उपयोगकर्ता डेटा एक्सेस प्राप्त करने की अनुमति दे सकती थीं।
गैजेट्स 360 पर उपभोक्ता इलेक्ट्रॉनिक्स शो से नवीनतम प्राप्त करें, हमारे सीईएस 2022 हब।
