Trình duyệt Safari dính lỗ hổng bảo mật nghiêm trọng, có thể làm lộ tài khoản Google

Lỗ hổng bảo mật này bắt nguồn từ việc Apple triển khai API giúp lưu trữ dữ liệu trên trình duyệt gọi là IndexedDB.

The Verge dẫn thông tin từ FingerprintJS cho biết, phiên bản trình duyệt Safari 15 của Apple đang chứa một lỗ hổng nghiêm trọng có thể làm lộ thông tin người dùng, đặc biệt là thông tin tài khoản Google. Lỗ hổng bảo mật này bắt nguồn từ việc Apple triển khai API giúp lưu trữ dữ liệu trên trình duyệt gọi là IndexedDB.

Safari đang dính lỗ hổng bảo mật nghiêm trọng từ IndexedDB. (Ảnh minh họa)

Trên lý thuyết, API IndexedDB phải đảm bảo khi người dùng mở tài khoản email của mình trong một tab, sau đó mở một trang web độc hại trong một tab khác, thì nó phải ngăn chặn trang web độc hại xem hay can thiệp vào tab email trước đó. Tuy nhiên, API IndexedDB trên Safari 15 không tuân thủ điều này, khiến trang web trên các tab khác nhau có thể đọc dữ liệu của nhau.

FingerprintJS lưu ý, các trang web sử dụng tài khoản Google như YouTube, Gmail hay Google Calendar đều tạo ra cơ sở dữ liệu với thông tin về tài khoản Google của người dùng. Do đó, khi mở tab truy cập các dịch vụ này mà trình duyệt đang mở một tab chứa trang web nào đó độc hại thì hoàn toàn có khả năng dữ liệu của người dùng bị lộ, ngay cả ở chế độ lướt web bảo mật.

Hiện, Apple chưa đưa ra bình luận về lỗ hổng này cũng như hướng khắc phục. Trước mắt, người dùng có thể sử dụng trình duyệt thay thế như Chrome. Song trong mọi trường hợp, trình duyệt web luôn phải được cập nhật lên phiên bản mới nhất.

Nguồn: [Link nguồn]Nguồn: [Link nguồn]