Trình duyệt Safari dính lỗi nghiêm trọng làm lộ thông tin người dùng

Người dùng iPhone, iPad và máy tính Mac có thể bị lộ thông tin cá nhân thông qua một lỗi nghiêm trọng vừa được phát hiện trên trình duyệt Safari.

Hãng bảo mật FingerprintJS vừa công bố một lỗi trên trình duyệt di động Safari trong phiên bản iOS 15. Theo đó, lỗi này “cho phép các website theo dõi hoạt động của người dùng trên Internet và thậm chí tiết lộ cả danh tính người sử dụng”. Lỗi được tìm thấy trong giao diện lập trình ứng dụng (API), vốn được hỗ trợ và sử dụng trên hầu hết các trình duyệt.

Trình duyệt Safari dính lỗi nghiêm trọng làm lộ thông tin người dùng

Các lập trình viên sử dụng IndexedDB, một API kết nối các bộ phận của phần mềm này với các phần mềm khác để công việc xây dựng chương trình trở nên dễ dàng hơn. Theo báo cáo, IndexedDB được hỗ trợ bởi phần lớn các trình duyệt hiện này và nắm giữ “lượng dữ liệu đáng kể”.

Lỗi trên iOS15, iPadOS và macOS cho phép các website ngẫu nhiên biết được người dùng đang truy cập trang web nào tại các cửa sổ và thẻ khác. Điều này thực hiện được là vì các trang như YouTube, Google Calendar và Google Keep sử dụng “nhận dạng chuyên biệt cho người dùng” trong tên cơ sở dữ liệu của chúng. Do đó, người dùng đã xác thực có thể được nhận diện thông qua cơ sở dữ liệu được tạo tại các trang web truy cập trước đó, gồm “ID người dùng Google” cũng như dữ liệu của các tài khoản đang được sử dụng.

Mỗi ID này được sử dụng để xác định một tài khoản Google cụ thể, khi kết hợp với API Google, sẽ tiết lộ ít nhất là ảnh đại diện của người dùng. Không chỉ vậy, kẻ tấn công còn có thể lấy thêm nhiều thông tin cá nhân và nắm được “các tài khoản riêng biệt” thuộc sở hữu của người dùng đó.

Ngay cả trong trường hợp người dùng sử dụng thẻ ẩn danh (chế độ riêng tư) trong Safari, nếu họ truy cập nhiều trang web bằng cách sử dụng một thẻ duy nhất, website họ truy cập sau đó sẽ có khả năng biết được tất cả cơ sở dữ liệu tương tác trước đó.

 

Hiện thời người dùng Safari sẽ không có nhiều lựa chọn nếu họ đang chạy trên iOS15 hay iPadOS15. Gợi ý đầu tiên có thể là chặn tất cả JavaScript theo mặc định và chỉ cho phép chạy trên các trang web tin tưởng 100%. Người dùng Mac có thể đổi sang trình duyệt khác.

Người dùng có thể tự kiểm tra trên iPhone và iPad bằng cách mở Safari và đến địa chỉ safarileaks.com để làm theo các chỉ dẫn đơn giản. Kết quả sẽ trả ra tên website gần nhất được truy cập cũng như ID Google chuyên biệt của người dùng.

Giải pháp trọn vẹn duy nhất là chờ đợi Apple cập nhật phần mềm hệ điều hành iOS và iPadOS.

Vinh Ngô(Theo PhoneArena)

iOS 15.2.1 sửa lỗi bảo mật gì?

iOS 15.2.1 sửa lỗi bảo mật gì?

Để tránh nguy cơ tấn công từ chối dịch vụ, iOS/iPadOS 15.2.1 sẽ nâng cao khả năng xác thực thiết bị gia dụng đầu vào cho ứng dụng Apple HomeKit.

Chủ đề : appleiOS15Safari
 
List comment
 

Hiện tại, rút tiền tại máy ATM bằng thẻ căn cước công dân (CCCD) gắn chip đang được triển khai thí điểm tại một số địa phương với một số ngân hàng. Tuy nhiên, người dân cần lưu ý những điều sau đây khi dùng CCCD rút tiền tại ATM.

 

Động thái mới nhất của Google để nhằm bảo vệ người dùng khỏi các nguy cơ bảo mật.

 

Trong mùa giải thứ 13 được tổ chức tại Việt Nam, vòng loại quốc gia cuộc thi Vô địch Tin học văn phòng thế giới - MOSWC Viettel 2022 có sự góp mặt của gần 1.400 học sinh, sinh viên trên cả nước.

 

Lên voi xuống 'hố' là tình cảnh các tỷ phú tiền số sau 2 năm kiếm bộn.

 

Elon Musk dường như không hài lòng với tình trạng của Twitter hiện tại. Ông có thể hủy thỏa thuận mua lại mạng xã hội này nếu không đạt những điều kiện nhất định.

 
 

Giá trị đồng TerraUSD giảm mạnh cho thấy rõ mức độ biến động lớn của các đồng tiền số.

Đồng sáng lập Terra đưa ra đề xuất “tua ngược thời gian”, phân bổ lại đồng LUNA và “bỏ rơi” UST.

Đồng sáng lập kiêm CEO Terra thừa nhận thất bại của mô hình stablecoin thuật toán.

Có khá nhiều điểm giống nhau giữa Do Kwon, CEO phụ trách dự án Terra và Elizabeth Holmes, người phụ nữ được mệnh danh 'siêu lừa' trong lĩnh vực khởi nghiệp.

Sàn giao dịch tiền số lớn nhất thế giới mở lại giao dịch LUNA và stablecoin UST sau cuộc họp kéo dài 2 giờ với dự án Terra.

 
123

Giấy phép hoạt động báo chí: Số 09/GP-BTTTT, Bộ Thông tin và Truyền thông cấp ngày 07/01/2019.

Tòa soạn: Tầng 7, Tòa nhà Cục Tần số Vô tuyến điện, 115 Trần Duy Hưng, Quận Cầu Giấy, Hà Nội

Điện thoại: 024 3 936 9966 - Fax: 024 3 936 9364

Hotline nội dung: 0888 911 911 - Email: toasoan@ictnews.vn

123