Safari dính lỗ hổng bảo mật có thể tiết lộ thông tin tài khoản Google
Google nhận án phạt kỷ lục vì vi phạm cookie Apple và Google tạo thế ‘gọng kìm’, cản trở cạnh tranh trên thị trường di động |
Lỗ hổng bảo mật bắt nguồn từ việc Apple triển khai IndexedDB - một giao diện lập trình ứng dụng (API) lưu trữ dữ liệu trên trình duyệt của người dùng. Báo cáo từ FingerprintJS, IndexedDB tuân theo chính sách nguồn gốc vốn hạn chế một nguồn tương tác với dữ liệu được thu thập trên các nguồn khác, về cơ bản chỉ trang web tạo dữ liệu mới có thể truy cập nó.
Ví dụ: nếu người dùng mở tài khoản email của mình trong một tab và sau đó mở một trang web độc hại trong một tab khác, chính sách nguồn gốc sẽ ngăn trang độc hại xem và can thiệp vào email của người dùng.
![]() |
Ảnh minh họa. |
Tuy nhiên, FingerprintJS nhận thấy rằng ứng dụng API IndexedDB của Apple trong Safari 15 thực sự vi phạm chính sách nguồn gốc. Theo báo cáo, IndexedDB được hỗ trợ bởi phần lớn các trình duyệt hiện này và nắm giữ lượng dữ liệu đáng kể.
Lỗ hổng có trên các phiên bản iOS 15, iPadOS và macOS sẽ cho phép các website ngẫu nhiên biết được người dùng đang truy cập trang web nào tại các cửa sổ và thẻ khác. Điều này thực hiện được là vì các trang như YouTube, Google Calendar và Google Keep sử dụng “nhận dạng chuyên biệt cho người dùng” trong tên cơ sở dữ liệu của chúng. Do đó, người dùng đã xác thực có thể được nhận diện thông qua cơ sở dữ liệu được tạo tại các trang web truy cập trước đó, gồm “ID người dùng Google” cũng như dữ liệu của các tài khoản đang được sử dụng.
FingerprintJS đã tạo một bản demo bằng chứng về cáo buộc của mình. Bản trình diễn sử dụng lỗ hổng IndexedDB của trình duyệt để xác định các trang web mà người dùng đã mở hoặc mở gần đây, cho thấy cách các trang web khai thác lỗi có thể lấy thông tin từ ID người dùng Google của họ. Công ty hiện chỉ phát hiện 30 trang web phổ biến bị ảnh hưởng bởi lỗi, chẳng hạn như Instagram, Netflix, Twitter, Xbox, nhưng nó có khả năng ảnh hưởng nhiều hơn.
Thật không may, người dùng không thể làm gì nhiều để giải quyết vấn đề này vì FingerprintJS cho biết lỗi này cũng ảnh hưởng đến chế độ duyệt web riêng tư trên Safari. FingerprintJS đã báo cáo sự cố cho Apple vào ngày 28/11 năm ngoái, nhưng vẫn chưa có bản cập nhật cho Safari./.
Theo Kiến An/vov.vn
Có thể bạn quan tâm
Nên xem

Nhiều tác phẩm sắc sảo, có nét mới tại Giải “Búa liềm vàng” lần thứ VII - năm 2022

Với Đảng trọn niềm tin

Sôi nổi giải kéo co trong công nhân, viên chức, lao động huyện Thường Tín

Phát động phong trào thi đua trong công nhân, viên chức, lao động huyện Thạch Thất

Kiểm tra công tác phổ cập giáo dục, xóa mù chữ trên địa bàn quận Ba Đình

Bí thư Thành ủy Hà Nội Đinh Tiến Dũng thị sát một số chung cư cũ

Gấp rút chuẩn bị cho Ngày thơ Việt Nam lần thứ 21 tại Hoàng thành Thăng Long
Tin khác

Cảnh báo 508 cuộc tấn công mạng trong đợt nghỉ Tết Nguyên đán 2023
Xe - Công nghệ 30/01/2023 16:49

Chấm dứt ngay hoạt động đăng ký, kích hoạt, mua, bán SIM không đúng quy định
Công nghệ 20/12/2022 09:18

26 sản phẩm, dịch vụ an toàn thông tin nhận danh hiệu “Chìa khóa vàng” 2022
Công nghệ 10/12/2022 19:21

Nhà sáng chế mong muốn đưa sản phẩm đến với thế giới được nhận đầu tư 10 tỷ đồng
Công nghệ 09/12/2022 20:52

Ứng dụng công nghệ AI vào chẩn đoán hình ảnh tại các bệnh viện Việt Nam
Công nghệ 09/12/2022 14:56

Viettel Solutions xây dựng giải pháp Smart City trên hạ tầng điện toán đám mây
Công nghệ 02/12/2022 21:14

Cha đẻ “siêu vật liệu” lấy nước từ không khí: VinFuture là nguồn động lực lớn lao cho nhà khoa học
Công nghệ 28/11/2022 15:13

Viettel đặt mục tiêu trở thành trung tâm tài năng công nghệ hàng đầu châu Á
Công nghệ 15/11/2022 22:01

Việt Nam xuất sắc giành ngôi vô địch Cyber SEA Game 2022
Xe - Công nghệ 11/11/2022 20:28

Hải Phòng: Xây dựng cẩm nang phòng chống tin giả, tin sai sự thật trên không gian mạng
Công nghệ 08/10/2022 19:44