Trình duyệt Safari gặp lỗi nghiêm trọng

Trình duyệt Safari 15 có một lỗi cực kỳ nghiêm trọng. Lỗi này có thể làm lộ các hoạt động duyệt web. Nghiêm trọng hơn là lộ thông tin cá nhân của người dùng.

Safari 15 lỗi cực nghiêm trọng

Lỗi nghiệm trọng này được phát hiện, có thể làm lộ nhiều thông tin người dùng. Theo phát hiện của FingerprintJS lỗi này liên quan đến tài khoản Google của người dùng. Lỗ hổng bảo mật này bắt nguồn từ việc Apple triển khai IndexedDB. Đây là một API giúp lưu trữ dữ liệu trên trình duyệt.

Trình duyệt Safari gặp lỗi nghiêm trọng

Theo FingerprintJS, API IndexedDB phải đảm bảo tuân thủ theo chính sách “same-origin”. Chỉ các trang web tạo dữ liệu mới có thể truy cập dữ liệu. Và ngăn chặn các nguồn khác thu thập dữ liệu. Ví dụ nếu bạn mở tài khoản email của mình trong một tab. Đồng thời mở một trang web độc hại trong một tab khác. Same-origin giúp ngăn chặn trang web độc hại có thể xem và can thiệp vào tab email của bạn.

Tuy nhiên, FingerprintJS phát hiện ra rằng API IndexedDB của Apple trong Safari 15. Không tuân thủ theo chính sách same-origin này. Khi một trang web tạo ra cơ sở dữ liệu mới trong trình duyệt Safari. Một cơ sở dữ liệu khác có cùng tên cũng được tạo ra trong tất cả các tab cùng phiên trình duyệt.

Điều này có nghĩa là các trang web khác có thể thu thập cơ sở dữ liệu của nhau, và chúng có thể chứa những thông tin cá nhân cũng như toàn bộ hoạt động duyệt web của bạn. FingerprintJS lưu ý rằng các trang web sử dụng tài khoản Google như YouTube, Gmail hay Google Calendar đều tạo ra cơ sở dữ liệu với thông tin về tài khoản Google của người dùng.

FingerprintJS đã tiến hành thử nghiệm trên Safari 15 của máy tính Mac, iPhoneiPad. Bản demo này sử dụng lỗ hổng nói trên, để xác định các trang web bạn đã mở và cho thấy có thể lấy thông tin tài khoản Google.

Tạm kết

Hiện tại người dùng không có cách nào để khắc phục lỗ hổng bảo mật này, ngay cả việc sử dụng chế độ Private Browsing trong Safari. Bạn có thể sử dụng một trình duyệt khác trên macOS. Với iOS thì không có cách nào khác. FingerprintJS đã thông báo lỗ hổng bảo mật này cho Apple từ ngày 28 tháng 11. Nhưng đến nay vẫn chưa có bản vá lỗi nào cho trình duyệt Safari.  Thông tin trên đều do Ngọc Linh Mobile tổng hợp. Nếu bạn thấy hữu ích hãy để lại bình luận cho chúng tôi biết nhé.

BÀI VIẾT LIÊN QUAN

Trả lời

Email của bạn sẽ không được hiển thị công khai.