1046
#1
Một lỗi nghiêm trọng trên Safari đã được phát hiện bởi blogger FingerprintJS, có thể bị khai thác để lấy thông tin tài khoản Google cũng như lịch sử dụng duyệt web gần đây của người dùng.
Theo chia sẻ từ blogger này, lỗ hổng của Safari xuất hiện trong quá trình triển khai IndexedDB trên máy Mac và iOS, khiến cho một trang web có thể thấy tên cơ sở dữ liệu (database) của bất kỳ tên miền nào thay vì chỉ bao gồm khả năng hoạt động nội bộ. Sau đó, tên của các database này có thể được dùng để trích xuất thông tin nhận dạng từ bảng tra cứu.
- Ví dụ: Các dịch vụ của Google lưu trữ một phiên bản IndexđB cho mỗi tài khoản đã đăng nhập của bạn, đồng thời tên cơ sở dữ liệu cũng tương ứng với ID tài khoản người dùng.
Lưu ý rằng, bằng chứng của Safarileaks chỉ lưu giữ khoảng 30 tên miền, nhưng rất có thể phương pháp này đã được áp dụng cho một lượng lớn tên miền khác mà chúng ta chưa phát hiện ra. Hầy như bất kỳ trang nào sử dụng API JavaScript IndexedDB đều có thể bị thu thập dữ liệu dễ dàng như vậy. Tuy nhiên, lỗ hổng này chỉ làm lộ danh sách tên cơ sở dữ liệu trên trang web và không vẫn hạn chế khả năng truy cập vào bên trong mỗi database.
Hiện tại, tất cả các phiên bản của Safari trên iPhone, iPad và máy Mac đều có thể khai thác lỗ hổng này. FingerprintJS cho biết họ đã báo cáo lỗi cho Apple vào ngày 28 tháng 11, nhưng nó vẫn chưa được khắc phục trong bản cập nhật phần mềm mới nhất.
Xem thêm:
TECHRUM.VN / THEO: 9TO5MAC
