0867.111.333

Icon Icon Icon
Trình duyệt Safari gặp lỗi làm lộ danh tính người dùng

Tin Công Nghệ

Trình duyệt Safari gặp lỗi lộ danh tính người dùng

549 18/02/2022

Trình duyệt Safari 15 đang gặp một lỗi vô cùng nghiêm trọng, có khả năng làm lộ các hoạt động duyệt web cùng một số thông tin cá nhân của người dùng trình duyệt – Theo phát hiện của FingerprintJS. Hãy cùng Máy Chủ Việt tìm hiểu về vấn đề này.

Trình duyệt Safari gặp lỗi

Trình duyệt Safari gặp lỗi làm lộ danh tính người dùng

Theo như phát hiện của FingerprintJS, trình duyệt Safari 15 hiện có thể làm lộ các hoạt động duyệt web, thông tin cá nhân liên quan đến tài khoản Google của người dùng. Được biết rằng lỗ hổng bảo mật này bắt nguồn từ việc Apple triển khai IndexedDB, một API giúp lưu trữ dữ liệu trên trình duyệt này.

Theo FingerprintJS, API IndexedDB cần đảm bảo tuân thủ theo chính sách ‘same-origin’, chỉ các trang website tạo dữ liệu mới có thể truy cập, ngăn chặn các nguồn khác thu thập dữ liệu. Ví dụ như nếu người dùng mở tài khoản email của mình trong một tab, sau đó mở một trang web độc hại trong một tab khác, chính sách same-origin giúp ngăn chặn website độc hại có thể xem, can thiệp vào tab email của người dùng.

Tuy nhiên, FingerprintJS phát hiện ra rằng API IndexedDB của Apple trong Safari 15 thực tế lại không tuân thủ theo chính sách same-origin này. Khi một website tạo ra cơ sở dữ liệu mới trong trình duyệt Safari, một cơ sở dữ liệu khác có cùng tên cũng được tạo ra trong tất cả các tab cùng phiên trình duyệt.

Điều này có nghĩa là các trang web khác có thể thu thập cơ sở dữ liệu của nhau, chúng có thể chứa những thông tin cá nhân cũng như toàn bộ hoạt động duyệt web của người dùng. FingerprintJS còn lưu ý rằng các trang website sử dụng tài khoản Google như YouTube, Gmail, Google Calendar đều tạo ra cơ sở dữ liệu với thông tin về tài khoản Google của người dùng.

>> Bật mí việc Microsoft vừa chiêu mộ kỹ sư thiết kế chip kỳ cựu của Apple

Thử nghiệm trên Safari 15 của FingerprintJS

Trình duyệt Safari gặp lỗi làm lộ danh tính người dùng

FingerprintJS đã thử nghiệm trên Safari 15 của máy tính Mac, iPhone cùng iPad. Bản demo này sử dụng lỗ hổng nói trên, nhằm xác định các trang website bạn đã mở, cho thấy có thể lấy thông tin tài khoản Google.

Hiện tại, người dùng không có cách nào khắc phục lỗ hổng bảo mật này, ngay cả việc sử dụng chế độ Private Browsing trong trình duyệt Safari. Người dùng có thể sử dụng một trình duyệt khác trên macOS nhưng với iOS thì không còn cách nào khác.

FingerprintJS đã thông báo lỗ hổng bảo mật này cho Apple từ ngày 28/11, nhưng đến nay vẫn chưa có bản vá lỗi nào cho trình duyệt Safari.

 

CHIA SẺ BÀI VIẾT

Icon Icon Icon
Đề nghị báo giá ngay
Chat qua zalo
Chat qua Facebook
Gọi ngay: 0867.111.333