كشفت دراسة تحليلية واسعة النطاق أن متصفح جوجل كروم، الأكثر استخداماً على مستوى العالم، يوفر حماية محدودة للغاية ضد تقنيات البصمة الرقمية وتسرب البيانات التي تعرض المستخدمين بشكل صامت للمواقع والمتتبعين.
ويشير التحليل، الذي صدر مؤخراً، إلى أن الاستخدام اليومي لمتصفح كروم يمرر معلومات الجهاز وإشارات الأجهزة دون أي موافقة أو تفاعل من المستخدم.
تحليل شامل لثغرات الخصوصية في جوجل كروم
يغطي التحليل ما لا يقل عن ثلاثين تقنية بصمة رقمية مميزة وأكثر من عشرين طريقة لتخزين البيانات على جانب العميل والتتبع المستخدمة حالياً في كروم. هذه ليست مجرد ثغرات نظرية، بل هي تقنيات فعلية مستخدمة عبر ملايين المواقع لبناء ملفات تعريف فريدة للمستخدمين بصمت.
يُظهر البحث أن المتصفحات التي يستخدمها مليارات الأشخاص حول العالم قد تكون عرضة للخطر بشكل غير مسبوق. وتعرض هذه التقنيات خصوصية المستخدم للخطر بشكل كبير.
مخاوف البصمة الرقمية في كروم
قامت الدراسة، التي أعدها الباحث ألكسندر هانف، رائد في مجال مكافحة التتبع، بتحديد هذه الثغرات كمرجع شامل. وأشار هانف إلى أنه على عكس متصفحات مثل Brave وFirefox التي تتضمن دفاعات مدمجة ضد البصمة الرقمية، فإن كروم لا يقدم أي حماية حقيقية.
تم إيقاف تشغيل Privacy Sandbox من جوجل في أبريل 2025 دون أي حماية محددة للبصمة الرقمية، وتم التخلي تماماً عن اقتراح Privacy Budget الذي كان يهدف إلى الحد من كمية البيانات التعريفية التي يمكن للموقع جمعها. هذا الغياب للحماية يعزز المخاوف بشأن استخدام خصوصية المستخدم.
تتجاوز هذه الثغرات ملفات تعريف الارتباط (الكوكيز). فمن بطاقة الرسومات إلى الخطوط المثبتة، ومن الأجهزة الصوتية إلى تصميم لوحة المفاتيح، كل إشارة تساهم في بصمة رقمية دقيقة. تجمع المواقع هذه الإشارات باستخدام أدوات مثل FingerprintJS لتعيين معرف مستمر يبقى حتى بعد مسح الكوكيز ووضع التصفح الخاص.
وجدت دراسة في ACM عام 2025، والتي استشهد بها البحث، أن البصمة الرقمية باستخدام Canvas وحدها – التي ترسم رسومات مخفية لاستخراج اختلافات عرض الأجهزة – تظهر في 12.7% من أفضل 20,000 موقع ويب. ما يجعل هذا الأمر مقلقاً بشكل خاص هو الغياب التام للدفاعات الأصلية في كروم.
تعمل تقنيات مثل البصمة الرقمية باستخدام Canvas، وتسريب معلومات معالجات الرسوميات WebGL، وتحليل الصوت، وتعداد تركيب الكلام، وخرائط لوحة المفاتيح بالكامل في كروم دون أي تخفيف. ويبرز كروم كمتصفح وحيد بين المتصفحات الرئيسية في عدم تقديم أي حماية مدمجة ضد البصمة الرقمية لمستخدميه.
تسرب البيانات عبر ترويسات HTTP
إلى جانب البصمة الرقمية، تعمل فئة أخرى من الثغرات عبر ترويسات HTTP القياسية، وهي رسائل تلقائية يرسلها متصفحك مع كل طلب ويب. تقوم بعض هذه الترويسات بتسريب معلومات تعريفية بطرق يصعب حظرها أو اكتشافها.
يتضمن أحد التسريبات الرئيسية تتبع ETag، والذي تم الكشف عنه علناً في فضيحة KISSmetrics عام 2011. عندما يزور متصفحك خادماً، فإنه يتلقى قيمة تبدو كمعرف مؤقت عادي للتخزين المؤقت، ولكنه يمكن أن يشفّر سراً معرف مستخدم فريد. وفي كل زيارة عودة، يرسل المتصفح هذه القيمة تلقائياً، مؤكداً هويتك دون الحاجة إلى ملفات تعريف ارتباط أو JavaScript. ورغم أن تقسيم ذاكرة التخزين المؤقت في كروم يمنع تتبع ETag عبر المواقع، إلا أن التتبع داخل الموقع الأول لا يزال يعمل بكامل طاقته.
تمثل تلميحات العميل HTTP (HTTP Client Hints) ناقلاً آخر. حيث تخبر ترويسات مثل Sec-CH-UA المواقع تلقائياً بإصدار متصفحك، والهندسة المعمارية، ونظام التشغيل. وتوثق الدراسة أن امتدادات كروم التي تستخدم واجهة برمجة التطبيقات webRequest API يمكنها مراقبة هذه الترويسات مباشرة، مما يكشف عن حجم البيانات التي تغادر المتصفح بصمت مع كل تحميل للصفحة دون أن يدرك المستخدمون ذلك.
تُبرز الأبحاث ثغرة حرجة وهي CVE-2025-4664، وهي خلل في كروم سمح للمهاجمين بتعيين سياسة مرجع ضعيفة عبر ترويسات الرابط (Link headers) في طلبات الموارد الفرعية. تسبب هذا في قيام كروم بإرسال عناوين URL للصفحات بأكملها، بما في ذلك رموز المصادقة، إلى خوادم طرف ثالث. تم استغلال هذا الخلل بنشاط قبل إصلاحه في كروم 136، مما يوضح بالضبط كيف يمكن لتسريب في الترويسات أن يؤدي إلى سرقة بيانات الاعتماد الحقيقية.
توصيات للمستخدمين
بالنسبة للمستخدمين القلقين بشأن تعرضهم، تشير الأبحاث إلى عدة توصيات عملية. يعد التبديل إلى متصفح يتمتع بحماية مدمجة ضد البصمة الرقمية، مثل Brave الذي يقوم بإدخال ضوضاء معايرة في واجهات برمجة التطبيقات للبصمة الرقمية، أو Firefox مع تفعيل privacy.resistFingerprinting، يوفر الدفاع الأكثر مباشرة.
يوفر استخدام امتداد خصوصية موثوق به مع حظر على مستوى الشبكة إمكانية اعتراض نصوص التتبع المعروفة وإزالة ترويسات التتبع الصادرة. ويعد الحفاظ على تحديث كروم أمراً ضرورياً نظراً للثغرات المستغلة مثل CVE-2025-4664. ويحد المسح المنتظم لـ localStorage و IndexedDB والبيانات المخزنة مؤقتاً من معرفات التتبع المخزنة، ولكنه لا يمكن أن يوقف التتبع القائم على البصمة الذي لا يتطلب تخزيناً ليعمل.