Categories: Tin KH-CNKhoa Học - Công Nghệ

Trình duyệt web Safari 15 gặp lỗi bảo mật nghiêm trọng, có thể làm lộ thông tin tài khoản Google

(Ảnh minh họa: ymgerman/Shutterstock)

Theo trang The Verge, trình duyệt web Safari 15 đang gặp một lỗi bảo mật nghiêm trọng, có thể để lộ các lịch sử duyệt web và một số thông tin cá nhân liên quan đến tài khoản Google của người dùng, theo phát hiện của FingerprintJS. Lỗ hổng bảo mật trên bắt nguồn từ sự cố triển khai IndexedDB của Apple, một giao diện lập trình ứng dụng (API) lưu trữ dữ liệu trên trình duyệt.

(Ảnh minh họa: ymgerman/Shutterstock)

FingerprintJS giải thích rằng API IndexedDB phải đảm bảo tuân thủ theo chính sách “same-origin“, theo đó, chỉ có các trang web tạo dữ liệu mới có thể truy cập và ngăn chặn các nguồn khác thu thập dữ liệu. Ví dụ: nếu bạn mở tài khoản email của mình trong một tab và sau đó mở một trang web chứa mã độc ở một tab khác, chính sách “same-origin” sẽ ngăn trang chứa mã độc xem và can thiệp vào email của bạn.

FingerprintJS phát hiện thấy rằng ứng dụng API IndexedDB của Apple trong Safari 15 đang không tuân thủ chính sách “same-origin”. FingerprintJS cho biết: “Khi một trang web tương tác với cơ sở dữ liệu mới trong trình duyệt Safari, một cơ sở dữ liệu khác có cùng tên cũng được tạo ra trong tất cả các tab cùng phiên trình duyệt”.

Điều này đồng nghĩa với việc các trang web khác có thể thu thập cơ sở dữ liệu của nhau và chúng có thể chứa những thông tin cá nhân cũng như toàn bộ hoạt động duyệt web của người dùng. FingerprintJS chỉ ra rằng các trang web sử dụng tài khoản Google như YouTube, Gmail hoặc Google Calendar đều tạo cơ sở dữ liệu chứa thông tin tài khoản Google của người dùng.

FingerprintJS đã tiến hành thử nghiệm Safari 15 trên các thiết bị Macbook, iPhone và iPad. Bản demo này sử dụng lỗ hổng IndexedDB nêu trên để xác định việc một số trang web có thể lấy thông tin tài khoản Google của người dùng. Hiện tại FingerprintJS đã phát hiện ra 30 trang web bị ảnh hưởng bởi lỗi trên, trong đó có các web phổ biến như Instagram, Netflix, Twitter, Xbox.

Tờ The Verge đã liên hệ với Apple để bình luận về sự việc nêu trên nhưng công ty này vẫn chưa đưa ra bất kỳ phản hồi nào.

Theo The Verge,

Phan Anh

Xem thêm: