Lỗi này khiến Safari 15 làm lộ thông tin cá nhân liên quan đến tài khoản Google.

Safari 15 dính lỗi (bug) có thể làm rò rỉ lịch sử duyệt web và đồng thời tiết lộ một vài thông tin cá nhân liên quan đến tài khoản Google. Tin buồn là không có nhiều cách để người dùng tạm thời né được lỗi này, dù bạn có bật chế độ Private Browsing cũng vẫn bị luôn. Lỗi này bắt nguồn từ cách mà Apple đã sử dụng IndexedDB – một giao diện lập trình ứng dụng (application programming interface) chứa dữ liệu trên trình duyệt của bạn.

IndexedDB tuân thủ chính sách (policy) cùng nguồn gốc (same-origin), hạn chế 1 nguồn nào đó tương tác với dữ liệu được thu thập bởi các nguồn khác. Nói một cách cơ bản là chỉ có trang web tạo ra dữ liệu đó thì mới có quyền truy cập nó mà thôi. Chẳng hạn, bạn đang đọc email ở 1 tab và mở thêm 1 tab độc hại thì chính sách same-origin sẽ ngăn trang web độc hại kia xem email của bạn.

Safari 15 lỗi

Tuy nhiên, cách mà Apple cài IndexedDB API vào trong Safari 15 lại làm ảnh hưởng đến chính sách same-origin. Khi một trang web nào đó tương tác với cơ sở dữ liệu trong Safari, một cơ sở dữ liệu mới (trống) với cùng tên đó sẽ được tạo ra trong tất cả các frame, tab, windows đang ở trạng thái “active” trong cùng phiên duyệt web đó.

Điều này có nghĩa là các trang web khác có thể xem tên của các cơ sở dữ liệu được tạo ra trên các website khác, và nó có thể chứa thông tin liên quan đến danh tính của bạn. Những trang web dùng tài khoản Google như YouTube, Google Calendar, Google Keep đều tạo ra cơ sở dữ liệu với mã số Google User ID độc nhất của bạn. Mã số này cho phép Google truy cập các thông tin được bạn công khai, chẳng hạn như hình đại diện, và lỗ hổng trong Safari có thể làm lộ nó cho các trang web khác.

Safari 15 lỗi

Trên mạng cũng có một công cụ để demo lỗi này mà bạn có thể thử nếu đang dùng Safari 15 trở lên trên Mac, iPhone, iPad. Công cụ demo này sẽ xác định các trang mà bạn đã mở, và cho thấy cách mà những trang khác sẽ khai thác lỗ hổng này để thu thập thông tin từ Google User ID của bạn. Hiện nó chỉ mới phát hiện được tầm 30 trang phổ biến và bị ảnh hưởng bởi lỗi này, bao gồm Instagram, Netflix, Twitter, Xbox, vân vân.

Tóm tắt ý chính:

  • Safari 15 dính lỗi làm rò rỉ lịch sử duyệt web và tiết lộ thông tin cá nhân liên quan đến tài khoản Google
  • Dù có bật chế độ Private Browsing cũng vẫn bị
  • Lỗi này bắt nguồn từ cách mà Apple đã sử dụng IndexedDB

Mời các bạn tham khảo thêm một số thông tin liên quan tại GVN 360 như:

Nguồn: The Verge


Mời các bạn theo dõi fanpage của chúng mình theo đường link dưới đây để cập nhật những tin tức về game, công nghệ và nhiều thông tin thú vị khác nữa nhé!

GVN 360