Safari dính lỗ hổng bảo mật có thể tiết lộ thông tin tài khoản Google
| Google nhận án phạt kỷ lục vì vi phạm cookie Apple và Google tạo thế ‘gọng kìm’, cản trở cạnh tranh trên thị trường di động |
Lỗ hổng bảo mật bắt nguồn từ việc Apple triển khai IndexedDB - một giao diện lập trình ứng dụng (API) lưu trữ dữ liệu trên trình duyệt của người dùng. Báo cáo từ FingerprintJS, IndexedDB tuân theo chính sách nguồn gốc vốn hạn chế một nguồn tương tác với dữ liệu được thu thập trên các nguồn khác, về cơ bản chỉ trang web tạo dữ liệu mới có thể truy cập nó.
Ví dụ: nếu người dùng mở tài khoản email của mình trong một tab và sau đó mở một trang web độc hại trong một tab khác, chính sách nguồn gốc sẽ ngăn trang độc hại xem và can thiệp vào email của người dùng.
 |
| Ảnh minh họa. |
Tuy nhiên, FingerprintJS nhận thấy rằng ứng dụng API IndexedDB của Apple trong Safari 15 thực sự vi phạm chính sách nguồn gốc. Theo báo cáo, IndexedDB được hỗ trợ bởi phần lớn các trình duyệt hiện này và nắm giữ lượng dữ liệu đáng kể.
Lỗ hổng có trên các phiên bản iOS 15, iPadOS và macOS sẽ cho phép các website ngẫu nhiên biết được người dùng đang truy cập trang web nào tại các cửa sổ và thẻ khác. Điều này thực hiện được là vì các trang như YouTube, Google Calendar và Google Keep sử dụng “nhận dạng chuyên biệt cho người dùng” trong tên cơ sở dữ liệu của chúng. Do đó, người dùng đã xác thực có thể được nhận diện thông qua cơ sở dữ liệu được tạo tại các trang web truy cập trước đó, gồm “ID người dùng Google” cũng như dữ liệu của các tài khoản đang được sử dụng.
FingerprintJS đã tạo một bản demo bằng chứng về cáo buộc của mình. Bản trình diễn sử dụng lỗ hổng IndexedDB của trình duyệt để xác định các trang web mà người dùng đã mở hoặc mở gần đây, cho thấy cách các trang web khai thác lỗi có thể lấy thông tin từ ID người dùng Google của họ. Công ty hiện chỉ phát hiện 30 trang web phổ biến bị ảnh hưởng bởi lỗi, chẳng hạn như Instagram, Netflix, Twitter, Xbox, nhưng nó có khả năng ảnh hưởng nhiều hơn.
Thật không may, người dùng không thể làm gì nhiều để giải quyết vấn đề này vì FingerprintJS cho biết lỗi này cũng ảnh hưởng đến chế độ duyệt web riêng tư trên Safari. FingerprintJS đã báo cáo sự cố cho Apple vào ngày 28/11 năm ngoái, nhưng vẫn chưa có bản cập nhật cho Safari./.
Theo Kiến An/vov.vn
Có thể bạn quan tâm
Nên xem
Quận Thanh Xuân gặp mặt đại biểu tham gia kháng chiến chống Mỹ cứu nước
Bảo đảm an toàn, vệ sinh lao động - chìa khóa để thành công
“Chim Lạc tung cánh” - Biểu tượng khát vọng thịnh vượng và bản sắc Việt Nam trong kỷ nguyên mới
Xây dựng trung tâm công nghiệp văn hóa cần thực hiện theo lộ trình phù hợp, chắc chắn
Thủ tướng Phạm Minh Chính: Không có lý do gì gây phiền hà với người kinh doanh, tạo sinh kế cho dân
Phát huy vai trò của Công đoàn trong công tác đảm bảo an toàn, vệ sinh lao động
Làm rõ các nhóm chính sách để vận hành Trung tâm tài chính quốc tế tại Việt Nam
Tin khác
Trải nghiệm giấc ngủ tương lai với công nghệ cảm biến cá nhân hóa
Công nghệ 14/04/2025 08:59
Tin tức của Báo Nhân Dân chính thức xuất hiện trên ứng dụng VNeID
Công nghệ 09/04/2025 17:25
Máy in phun khô đầu tiên trên thế giới: Bước đột phá trong công nghệ in siêu nhỏ
Công nghệ 09/04/2025 10:59
Lượt tải ứng dụng ChatGPT vượt mốc 150 triệu: Cơn sốt tính năng "Images in ChatGPT"
Công nghệ 02/04/2025 20:16
Tủ lạnh Samsung biết “gọi điện thoại”: Khi AI biến nhà bếp thành trung tâm điều khiển thông minh
Công nghệ 02/04/2025 17:14
Google phát hành bản bảo mật khẩn cấp cho Chrome để xử lý lỗ hổng zero-day
Công nghệ 29/03/2025 17:18
Google Maps nâng cấp lớn: Hỗ trợ lái xe thông minh hơn với giao diện trực quan
Công nghệ 29/03/2025 08:45
Những điều cần biết về internet vệ tinh Starlink
Công nghệ 28/03/2025 06:39
Rạng Đông và VinFast Energy hợp tác thúc đẩy chuyển đổi năng lượng bền vững tại Việt Nam
Công nghệ 27/03/2025 16:26
Google công bố Gemini 2.5 - Mô hình AI mạnh nhất từ trước đến nay, vượt trội về tư duy và lập trình
Công nghệ 26/03/2025 13:26
