Tin tức

Người dùng Safari cảnh giác vì lỗ hổng bảo mật

    0

    Mới đây, FingerprintJS đã chỉ ra một vấn đề bảo mật nghiêm trọng liên quan đến cách Apple triển khai API IndexedDB trên Safari 15. Theo nhóm bảo mật này, lỗ hổng này cho phép một website có thể lấy các thông tin về tên miền của các website khác mà người dùng truy cập. Từ đó, những kẻ có ý đồ xấu có thể khai thác được dữ liệu người dùng, những kết quả mà họ đã tìm kiếm, những trang mà họ đã truy cập.

    Safari 15 là phiên bản mới nhất của trình duyệt Safari. Phiên bản này đã có mặt trên các thiết bị của Apple như iPhone, iPad và các máy Mac. Sau khi phát hiện lỗ hổng này, FingerprintJS cho biết họ đã báo cáo cho Apple từ cuối tháng 11. Tuy nhiên, sau gần hai tháng lỗ hổng này vẫn chưa được Apple khắc phục. Do đó, để người dùng cảnh giác hơn khi duyệt web trên Safari, FingerprintJS đã công khai lỗi này trên blog của họ. Đồng thời họ tạo ra một trang thử nghiệm có tên là Safarileaks để người dùng có cái nhìn khái quát và dễ hiểu về lỗ hổng này. Các thử nghiệm đã chỉ ra rằng mỗi khi người dùng truy cập một trang web, tên của trang web đó đều sẽ được hiển thị trên tab Safarileaks.

    Theo các chuyên gia phân tích, đây là một lỗ hổng nghiêm trọng và vi phạm đến quyền riêng tư của người dùng. Thậm chí, nó sẽ là mối nguy lớn đối với một số dịch vụ và địa chỉ web có chứa ID người dùng. Ví dụ như với các dịch vụ của Google, trình duyệt Safari lưu trữ một phiên bản IndexedDB ứng với mỗi tài khoản mà người dùng đăng nhập, trong đó có kèm theo ID tài khoản. Khi khác thác lỗ hổng này trên Safari, kẻ xấu hoàn toàn có thể biết được ID Google của người dùng, từ đó khai thác các thông tin có liên quan. Tuy chưa đi vào khai thác sâu lỗ hổng, nhưng khi thử nghiệm, 9to5mac đã biết được ảnh đại diện của tài khoản Google dựa trên ID mà họ lấy được.

    Hiện tại, các phiên bản của Safari bị ảnh hưởng bao gồm Safari 15 trên MacOS Safari trên iOS 15 và iPadOS 15. Để tránh những rủi ro đáng tiếc xảy ra, người dùng máy Mac có thể lựa chọn một trình duyệt web khác để sử dụng. Còn đối với những người dùng iPhone, iPad vẫn chưa có cách khắc phục, họ sẽ phải chờ bản cập nhật vá lỗi tiếp theo của Apple.

    Theo Appleinsider 9to5mac

    More in Tin tức

    You may also like