|
Safari 15 gặp lỗi bảo mật nghiêm trọng (Ảnh: The Verge) |
Trình duyệt Safari 15 đang gặp một lỗi bảo mật vô cùng nghiêm trọng, làm lộ các lịch sử duyệt web và một số thông tin cá nhân liên quan đến tài khoản Google của người dùng, theo phát hiện của FingerprintJS. Lỗ hổng bảo mật này bắt nguồn từ sự cố triển khai IndexedDB của Apple, một giao diện lập trình ứng dụng (API) lưu trữ dữ liệu trên trình duyệt.
Theo FingerprintJS, API IndexedDB phải đảm bảo tuân thủ theo chính sách "same-origin", chỉ có các trang web tạo dữ liệu mới có thể truy cập và ngăn chặn các nguồn khác thu thập dữ liệu. Ví dụ: nếu bạn mở tài khoản email của mình trong một tab và sau đó mở một trang web chứa mã độc ở một tab khác, chính sách "same-origin" sẽ ngăn trang chứa mã độc xem và can thiệp vào email của bạn.
FingerprintJS nhận thấy rằng ứng dụng API IndexedDB của Apple trong Safari 15 đang không tuân thủ chính sách "same-origin". FingerprintJS chia sẻ: "Khi một trang web tạo ra cơ sở dữ liệu mới trong trình duyệt Safari, một cơ sở dữ liệu khác có cùng tên cũng được tạo ra trong tất cả các tab cùng phiên trình duyệt.".
|
Bài đăng trên Twitter cảnh báo về lỗi bảo mật trên Safari 15 (Ảnh: The Verge) |
Điều này có nghĩa là các trang web khác có thể thu thập cơ sở dữ liệu của nhau và chúng có thể chứa thông tin cá nhân cũng như toàn bộ hoạt động duyệt web của người dùng. FingerprintJS chỉ ra rằng các trang web sử dụng tài khoản Google như YouTube, Gmail hoặc Google Calender đều tạo cơ sở dữ liệu chứa thông tin tài khoản Google của người dùng.
FingerprintJS đã tiến hành thử nghiệm Safari 15 trên Macbook, iPhone và iPad. Bản demo này sử dụng lỗ hổng IndexedDB nói trên để xác định việc một số trang web có thể lấy thông tin tài khoản Google của người dùng. Hiện tại FingerprintJS đã phát hiện ra 30 trang web bị ảnh hưởng bởi lỗi kể trên bao gồm các trang web phổ biến như Instagram, Netflix, Twitter, Xbox.
Những báo cáo về lỗi bảo mật trên Safari đã được gửi đến Apple. Tuy nhiên, cho đến thời điểm hiện tại công ty vẫn chưa đưa ra bất kỳ phản hồi nào về lỗi kể trên.
Theo The Verge