Safari có thể làm rò rỉ lịch sử duyệt web và tài khoản Google

FingerprintJS đã tiết lộ một cách khai thác cho phép những kẻ tấn công lấy được lịch sử trình duyệt gần đây của bạn và thậm chí một số thông tin tài khoản Google thông qua Safari 15 trên tất cả các nền tảng được hỗ trợ cũng như trình duyệt của bên thứ ba trên iOS 15 và iPadOS 15. Khung IndexedDB (được sử dụng để lưu trữ dữ liệu trên nhiều trình duyệt) đang vi phạm chính sách "cùng nguồn gốc" - chính sách ngăn chặn các tài liệu hoặc tập lệnh từ một vị trí tương tác với nội dung từ một vị trí khác. Điều này cho phép các tin tặc tạo ra các trang web với mã hoá phù hợp để truy ra thông tin của người truy cập.

Lỗ hổng này ảnh hưởng đến tên cơ sở dữ liệu nhiều hơn là nội dung của nó. Tuy vậy, nó vẫn đủ để cho các trang web độc hại có thể lấy được thông tin tài khoản Google của anh em cùng với đó là lịch sử duyệt web. Thậm chí là cả lịch sử duyệt web ẩn danh. 

FingerprintJS cho biết họ đã báo cáo vấn đề vào ngày 28 tháng 11 nhưng vẫn chưa được Apple giải quyết. Cho đến lúc đó, anh em có thể chọn một trong hai giải pháp là sử dụng trình duyệt của bên thứ ba trên máy Mac hoặc chặn tất cả JavaScript

Nguồn: Engadget