I. Safari là gì?
Safari được biết là một trình duyệt web được phát triển bởi Apple dựa trên công cụ WebKit. Safari được phát hành lần đầu tiên vào năm 2003 cùng với hệ điều hành MacOS X Panther. Trình duyệt Safari phiên bản di động được mang vào thiết bị iOS kể từ khi iPhone ra mắt vào năm 2007.
II. Trình duyệt Safari gặp lỗi
Theo phát hiện gần nhất của công ty FingerprintJS, trình duyệt Safari 15 có một lỗi nghiêm trọng. Lỗi này ảnh hưởng có thể làm lộ các hoạt động duyệt web và một số thông tin cá nhân của người dùng.
Trình duyệt Safari 15 có một lỗi nghiêm trọng, có thể làm lộ các hoạt động duyệt web và một số thông tin cá nhân. Những thông tin này liên quan tới tài khoản Google của người dùng. Theo tìm hiểu, lỗ hổng bảo mật này bắt nguồn từ việc Apple triển khai IndexedDB, một API giúp lưu trữ dữ liệu.
Một thông tin khác từ FingerprintJS, API IndexedDB sẽ cần phải đảm bảo tuân thủ theo chính sách ‘same-origin’. Chỉ các trang web có tạo dữ liệu thì mới có thể truy cập và ngăn chặn các nguồn khác.
Để dễ hiểu thì P.A Việt Nam đưa ra cho các bạn một ví dụ cụ thể. Khi bạn mở tài khoản email của mình trong một tab và sau đó mở một trang web độc hại ở tab khác. Chính sách same-origin giúp ngăn chặn trang web độc hại can thiệp vào tab email của bạn.
Tuy nhiên khi tìm hiểu thì API IndexedDB của Apple trong Safari 15 không tuân thủ theo chính sách same-origin này. Một trang web độc lập tạo ra cơ sở dữ liệu mới trong trình duyệt Safari. Một cơ sở dữ liệu khác có cùng tên cũng được tạo ra trong tất cả các tab cùng phiên trình duyệt.
Điều này có nghĩa là các trang web khác nhau hoàn toàn có thể thu thập cơ sở dữ liệu của nhau. Những trang web này có thể chứa những thông tin cá nhân cũng như toàn bộ hoạt động duyệt web của bạn.
P.A Việt Nam lưu ý rằng các trang web nên tạo ra cơ sở dữ liệu với thông tin về tài khoản người dùng. Nhất là các tài khoản Google như YouTube, Gmail hay Google Calendar đều tạo ra cơ sở dữ liệu.
Các chuyên gia hiện nay đã tiến hành thử nghiệm trên Safari 15 của máy tính Mac, iPhone và iPad. Bản demo này sử dụng lỗ hổng nói trên, để xác định các trang bạn sử dụng đã mở và cho thấy có thể lấy thông tin.
Hiện tại người dùng không có cách nào để khắc phục được lỗ hổng bảo mật này. Kể cả khi sử dụng chế độ Private Browsing trong Safari. Bạn có thể sử dụng một trình duyệt khác trên macOS, nhưng với iOS thì không thể.
Tìm hiểu hệ sinh thái các giải pháp công nghệ thông tin. TẠI ĐÂY.