بقلم “عامر عويضه”، الكاتب في أمن المعلومات لدى شركة “إسيت” ESET
اكتشف فريق من الباحثين في جوجل أنه تم العثور على أداة لمكافحة التعقب مخبئة في متصفح الويب Safari من أبل تحتوي على عيوب تؤدي في حالة إساءة الاستخدام إلى تمكين الشيء نفسه من تتبع المستخدم.
في تقرير تم إصداره مؤخرًا، كشف الباحثون عن نقاط ضعف متعددة في أداة خصوصية المتصفح قد تسمح للجهات الفاعلة السيئة السمعة بأخذ نظرة خاطفة على سجل التصفح والبحث.
تعتبر أبل أن حماية الخصوصية للمستخدمين هي إحدى الركائز الأساسية لأعمالها وأحد نقاط البيع الرئيسية. وفي عام 2017، أصدرت الشركة أداة خصوصية لمتصفح Safari ، تسمى منع التتبع الذكي (ITP). قوبلت هذه الخطوة بالغضب من مجتمع التسويق والإعلان. تحد الأداة نفسها من تتبع المواقع وملفات تعريف الارتباط للجهات الخارجية، والتي تستخدمها في الغالب شركات التسويق عبر الإنترنت لتتبع المستخدمين عبر مواقع الويب المختلفة. استنادًا إلى الإحصاءات التي تم جمعها وتفاعلات المستخدم، يقوم ITP بتقييم ملفات تعريف الارتباط التي يجب الحد منها.
وفي تطور غريب، تجادل الباحثون بأن ثغرات الأمن والخصوصية في تصميم ITP الخاص بـ Safari يمكن أن يكون له تأثير معاكس للاستخدام المقصود. ويشمل ذلك الكشف عن عادات التصفح، وكذلك السماح بالتتبع المستمر عبر المواقع وحتى تمكين تسرب المعلومات عبر المواقع.
“يمكن لأي موقع إصدار طلبات عبر المواقع، وزيادة عدد هجمات ITP وإجبارها على إضافتها إلى قائمة ITP للمستخدم. من خلال التحقق من الآثار الجانبية الناجمة عن تشغيل ITP لطلب HTTP المعين عبر المواقع، يمكن لموقع ويب تحديد ما إذا كان مجاله موجودًا في قائمة ITP للمستخدم؛ يمكنه تكرار هذه العملية والكشف عن حالة ITP لأي نطاق (domain). نظرًا لأن قائمة ITP تخزن ضمنيًا معلومات حول مواقع الويب التي زارها المستخدم، فإن تسريب حالته يكشف عن معلومات خاصة حساسة حول عادات التصفح للمستخدم. “
قدم الباحثون الذين وصفوا خمسة سيناريوهات مختلفة لإساءة استخدام تصميم ITP، نتائجهم إلى أبل مرة أخرى في ديسمبر. أقر الأخير بالمشكلة وأصدر تحديثات إلى Safari و ITP لإصلاحها. ومع ذلك، شكك “جوستين شوه”، مدير “هندسة جوجل كروم” في جوجل في أن المشكلات قد تم حلها.
لقد كان التسويق المستهدف شوكة في جانب المستخدمين لبعض الوقت ، حيث يلجأ معظمهم عادة إلى adblockers للحد من عدد الإعلانات التي يرونها. بينما تقوم شركات التكنولوجيا بتطوير أدوات مثل ITP والحد من ملفات تعريف الارتباط الخاصة بالأطراف الثالثة، إلا أن جميعها لا توافق على الطريقة.