Lỗ hổng Safari làm lộ thông tin duyệt web của người dùng

Tuấn Anh | 18/01/2022, 13:14

Một lỗi trong API JavaScript của WebKit được gọi là IndexedDB có thể tiết lộ lịch sử duyệt web và thậm chí cả danh tính của bạn.

safari.jpg

Theo một bài đăng trên blog được chia sẻ bởi dịch vụ FingerprintJS, lỗi này cho phép bất kỳ trang web nào sử dụng IndexedDB truy cập vào tên của cơ sở dữ liệu IndexedDB được tạo bởi các trang web khác trong phiên duyệt web của người dùng. Lỗ hổng cho phép một trang web theo dõi các trang web khác mà người dùng truy cập trong các tab hoặc cửa sổ khác nhau, vì tên cơ sở dữ liệu thường là duy nhất và cụ thể cho từng trang web. Hành vi chính xác và bình thường là các trang web chỉ có thể truy cập cơ sở dữ liệu IndexedDB của riêng chúng mà thôi.

Trong một số trường hợp, các trang web sử dụng số nhận dạng người dùng cụ thể duy nhất trong tên cơ sở dữ liệu IndexedDB. Ví dụ: YouTube tạo cơ sở dữ liệu bao gồm User ID Google đã xác thực của người dùng và số nhận dạng này có thể được sử dụng với các API của Google để tìm nạp thông tin cá nhân về người dùng, chẳng hạn như ảnh hồ sơ. Thông tin cá nhân này có thể giúp kẻ xấu xác định danh tính của người dùng.

Lỗi này ảnh hưởng đến các phiên bản trình duyệt mới hơn sử dụng công cụ trình duyệt nguồn mở WebKit của Apple, bao gồm Safari 15 dành cho Mac và Safari trên iOS 15 và iPadOS 15. Lỗi cũng ảnh hưởng đến các trình duyệt của bên thứ ba như Chrome trên iOS 15 và iPadOS 15, do Apple yêu cầu tất cả các trình duyệt sử dụng WebKit trên iPhone và iPad. FingerprintJS có một bản demo trực tiếp về lỗi cho biết các trình duyệt cũ hơn như Safari 14 dành cho Mac không bị ảnh hưởng.

FingerprintJS lưu ý rằng trang web không cần sự tác động của người dùng mà vẫn có thể truy cập vào tên cơ sở dữ liệu IndexedDB được tạo bởi các trang web khác.

“Một tab hoặc cửa sổ chạy trong nền và liên tục truy vấn API IndexedDB cho các cơ sở dữ liệu có sẵn có thể tìm hiểu những trang web khác mà người dùng truy cập trong thời gian thực”, bài đăng trên blog cho biết. “Ngoài ra, các trang web có thể mở bất kỳ trang web nào trong khung hiện tại hoặc cửa sổ bật lên để kích hoạt rò rỉ dựa trên IndexedDB cho trang web cụ thể đó”.

Quảng cáo

Chế độ duyệt web riêng tư không bảo vệ khỏi lỗ hổng trong các phiên bản Safari bị ảnh hưởng.

Người dùng sẽ cần đợi Apple giải quyết lỗi với các bản cập nhật phần mềm tiếp theo. Trong thời gian chờ đợi, người dùng Safari 15 có thể tạm thời chuyển sang một trình duyệt khác trên Mac, nhưng điều này không thể thực hiện được trên iPhone hoặc iPad vì tất cả các trình duyệt đều bị ảnh hưởng bởi lỗi WebKit trên các thiết bị đó.

Lỗi đã được báo cáo cho WebKit Bug Tracker vào ngày 28 tháng 11. Bạn có thể tìm thấy thêm chi tiết trong bài đăng trên blog của FingerprintJS, được trích dẫn trước đó bởi 9to5Mac.

Nổi bật Việt báo
Đừng bỏ lỡ
Mới nhất
POWERED BY ONECMS - A PRODUCT OF NEKO
Lỗ hổng Safari làm lộ thông tin duyệt web của người dùng
vietnam.vn