Safari dính lỗ hổng bảo mật có thể tiết lộ thông tin tài khoản Google
Google nhận án phạt kỷ lục vì vi phạm cookie Apple và Google tạo thế ‘gọng kìm’, cản trở cạnh tranh trên thị trường di động |
Lỗ hổng bảo mật bắt nguồn từ việc Apple triển khai IndexedDB - một giao diện lập trình ứng dụng (API) lưu trữ dữ liệu trên trình duyệt của người dùng. Báo cáo từ FingerprintJS, IndexedDB tuân theo chính sách nguồn gốc vốn hạn chế một nguồn tương tác với dữ liệu được thu thập trên các nguồn khác, về cơ bản chỉ trang web tạo dữ liệu mới có thể truy cập nó.
Ví dụ: nếu người dùng mở tài khoản email của mình trong một tab và sau đó mở một trang web độc hại trong một tab khác, chính sách nguồn gốc sẽ ngăn trang độc hại xem và can thiệp vào email của người dùng.
Ảnh minh họa. |
Tuy nhiên, FingerprintJS nhận thấy rằng ứng dụng API IndexedDB của Apple trong Safari 15 thực sự vi phạm chính sách nguồn gốc. Theo báo cáo, IndexedDB được hỗ trợ bởi phần lớn các trình duyệt hiện này và nắm giữ lượng dữ liệu đáng kể.
Lỗ hổng có trên các phiên bản iOS 15, iPadOS và macOS sẽ cho phép các website ngẫu nhiên biết được người dùng đang truy cập trang web nào tại các cửa sổ và thẻ khác. Điều này thực hiện được là vì các trang như YouTube, Google Calendar và Google Keep sử dụng “nhận dạng chuyên biệt cho người dùng” trong tên cơ sở dữ liệu của chúng. Do đó, người dùng đã xác thực có thể được nhận diện thông qua cơ sở dữ liệu được tạo tại các trang web truy cập trước đó, gồm “ID người dùng Google” cũng như dữ liệu của các tài khoản đang được sử dụng.
FingerprintJS đã tạo một bản demo bằng chứng về cáo buộc của mình. Bản trình diễn sử dụng lỗ hổng IndexedDB của trình duyệt để xác định các trang web mà người dùng đã mở hoặc mở gần đây, cho thấy cách các trang web khai thác lỗi có thể lấy thông tin từ ID người dùng Google của họ. Công ty hiện chỉ phát hiện 30 trang web phổ biến bị ảnh hưởng bởi lỗi, chẳng hạn như Instagram, Netflix, Twitter, Xbox, nhưng nó có khả năng ảnh hưởng nhiều hơn.
Thật không may, người dùng không thể làm gì nhiều để giải quyết vấn đề này vì FingerprintJS cho biết lỗi này cũng ảnh hưởng đến chế độ duyệt web riêng tư trên Safari. FingerprintJS đã báo cáo sự cố cho Apple vào ngày 28/11 năm ngoái, nhưng vẫn chưa có bản cập nhật cho Safari./.
Theo Kiến An/vov.vn
Có thể bạn quan tâm
Nên xem
10 sự kiện nổi bật của ngành khoa học và công nghệ năm 2024
Về nơi "xứ sở nhà thờ" mùa Giáng sinh
Tiếp tục đổi mới mạnh mẽ hoạt động của Mặt trận theo phương châm hướng về cơ sở
Ba cựu Phó Giám đốc sở hầu tòa trong vụ "chuyến bay giải cứu" giai đoạn 2
97 đề tài tham dự Cuộc thi Khoa học, kỹ thuật cấp Thành phố dành cho học sinh trung học
Công đoàn ngành Xây dựng Hà Nội lên kế hoạch chăm lo cho người lao động dịp Tết Nguyên đán
“Quả ngọt” sau hàng năm trời chữa nuốt nghẹn không rõ nguyên nhân
Tin khác
Công nghệ pin đột phá: Vượt qua giới hạn của pin lithium - ion
Công nghệ 08/12/2024 08:21
Phát triển hệ thống mới thay thế GPS
Công nghệ 05/12/2024 07:03
Khai mạc Triển lãm các sản phẩm, dịch vụ khởi nghiệp sáng tạo
Công nghệ 26/11/2024 21:54
Chung tay phát triển hệ sinh thái khởi nghiệp sáng tạo Việt Nam
Công nghệ 21/11/2024 13:54
Apple sắp ra mắt thiết bị nhà thông minh kết hợp AI
Công nghệ 15/11/2024 07:20
Google thử nghiệm tìm kiếm bằng giọng nói liền mạch và phản hồi cực nhanh
Công nghệ 12/11/2024 07:53
Trí tuệ nhân tạo (AI) - Bước đột phá giúp hoàn thiện bản đồ não bộ con người
Công nghệ 11/11/2024 07:30
MacBook Pro thế hệ tiếp theo, nâng tầm trải nghiệm người dùng
Công nghệ 05/11/2024 09:49
Google Maps tích hợp AI Gemini, sẵn sàng trả lời mọi câu hỏi về địa điểm
Công nghệ 02/11/2024 20:33
Meta phát triển nền tảng tìm kiếm AI độc lập
Công nghệ 30/10/2024 19:06