Trình duyệt Safari gặp lỗi nghiêm trọng làm lộ hoạt động duyệt web và danh tính người dùng

17/01/2022 03:00 PM | Công nghệ

Theo phát hiện của FingerprintJS, trình duyệt Safari 15 có một lỗi nghiêm trọng, có thể làm lộ các hoạt động duyệt web và một số thông tin cá nhân của người dùng.

Trình duyệt Safari gặp lỗi nghiêm trọng làm lộ hoạt động duyệt web và danh tính người dùng

Theo phát hiện của FingerprintJS, trình duyệt Safari 15 có một lỗi nghiêm trọng, có thể làm lộ các hoạt động duyệt web và một số thông tin cá nhân liên quan tới tài khoản Google của người dùng. Được biết, lỗ hổng bảo mật này bắt nguồn từ việc Apple triển khai IndexedDB, một API giúp lưu trữ dữ liệu trên trình duyệt.

Theo FingerprintJS, API IndexedDB phải đảm bảo tuân thủ theo chính sách ‘same-origin’, chỉ các trang web tạo dữ liệu mới có thể truy cập và ngăn chặn các nguồn khác thu thập dữ liệu. Ví dụ nếu bạn mở tài khoản email của mình trong một tab và sau đó mở một trang web độc hại trong một tab khác, chính sách same-origin giúp ngăn chặn trang web độc hại có thể xem và can thiệp vào tab email của bạn.

Trình duyệt Safari gặp lỗi nghiêm trọng làm lộ hoạt động duyệt web và danh tính người dùng - Ảnh 1.

Tuy nhiên, FingerprintJS phát hiện ra rằng API IndexedDB của Apple trong Safari 15 thực chất không tuân thủ theo chính sách same-origin này. Khi một trang web tạo ra cơ sở dữ liệu mới trong trình duyệt Safari, một cơ sở dữ liệu khác có cùng tên cũng được tạo ra trong tất cả các tab cùng phiên trình duyệt.

Điều này có nghĩa là các trang web khác có thể thu thập cơ sở dữ liệu của nhau, và chúng có thể chứa những thông tin cá nhân cũng như toàn bộ hoạt động duyệt web của bạn. FingerprintJS lưu ý rằng các trang web sử dụng tài khoản Google như YouTube, Gmail hay Google Calendar đều tạo ra cơ sở dữ liệu với thông tin về tài khoản Google của người dùng.

Trình duyệt Safari gặp lỗi nghiêm trọng làm lộ hoạt động duyệt web và danh tính người dùng - Ảnh 2.

FingerprintJS đã tiến hành thử nghiệm trên Safari 15 của máy tính Mac, iPhone và iPad. Bản demo này sử dụng lỗ hổng nói trên, để xác định các trang web bạn đã mở và cho thấy có thể lấy thông tin tài khoản Google.

Hiện tại người dùng không có cách nào để khắc phục lỗ hổng bảo mật này, ngay cả việc sử dụng chế độ Private Browsing trong Safari. Bạn có thể sử dụng một trình duyệt khác trên macOS, nhưng với iOS thì không có cách nào khác.

FingerprintJS đã thông báo lỗ hổng bảo mật này cho Apple từ ngày 28 tháng 11, nhưng đến nay vẫn chưa có bản vá lỗi nào cho trình duyệt Safari.

Tham khảo: theverge

Theo TVD

Pháp Luật và Bạn đọc

Cùng chuyên mục
XEM

NỔI BẬT TRANG CHỦ

Chuyện Vua Dép Lốp và Cường "phò mã”: Bỏ ghế phó giám đốc theo nghiệp làm dép cao su của bố vợ, tham vọng tạo nên “đôi dép quốc dân” Việt Nam

Nguyễn Tiến Cường có 8 năm khởi nghiệp với nghề làm dép thì 3 năm hầu như không bán được đôi nào, 2 năm Covid khiến việc kinh doanh đóng băng. Tính ra, chặng đường khởi nghiệp của Cường là bản hợp ca lẫn lộn, mà buồn có thể nhiều hơn vui. Nhưng Cường bảo anh không sợ khó, không sợ khổ, cũng chưa bao giờ nghĩ đến chuyện từ bỏ, vì “trong đầu tôi chỉ nghĩ đến làm dép, không làm dép thì làm gì”.

BizInsider

Chính sách mới từ ngày 1/6: Người dùng Việt Nam chạy quảng cáo Facebook sẽ phải trả tiền cho những khoản thuế và phí nào?

Có 5 cách tính chi phí khác nhau và những khoản tiền liên quan đến 2 chữ TH, đó là phí THẺ & THUẾ.

Forbes Under 30 châu Á vinh danh 5 đại diện Việt Nam: Người là lãnh đạo tại VinBus, người chế tạo vải từ vỏ hải sản

Trong số đó, có những gương mặt đã xuất hiện trong danh sách Forbes Under 30 Việt Nam năm 2022.

Shark Tank Việt Nam

Phỏng vấn 4 startup được rót vốn thành công sau Shark Tank mùa 4: Làm sao chinh phục dàn cá mập và khiến họ bỏ tiền thật sau khi lên sóng?

Chỉ khi các startup trung thực và minh bạch các số liệu, thì mới có thể hiểu hết mọi ngóc ngách của dự án mình đang làm, tự tin ứng phó với bất cứ câu hỏi nào đến từ các Shark trong bể cá mập. Bên cạnh đó, chúng ta cũng nên nghiên cứu thật kỹ các Shark để biết khẩu vị đầu tư cụ thể của từng người; dự án và bản thân mình phù hợp nhất với ai, rồi tập trung ‘tấn công’ người đó.

Đọc thêm