Apple vá lỗi lộ thông tin nghiêm trọng trên Safari

Nhóm bảo mật FingerprintJS cho biết đã phát hiện lỗi nghiêm trọng trên trình duyệt Safari và gửi thông báo tới Apple từ ngày 28/11/2021. Tuy nhiên, sau gần hai tháng, lỗ hổng vẫn chưa có dấu hiệu được khắc phục. Ngày 16/1, nhóm này quyết định công khai lỗi trên và tạo một trang thử nghiệm để người dùng có thể hình dung vấn đề.

Chỉ vài ngày sau khi lỗ hổng Safari được FingerprintJS công khai, Apple đã cấp tốc đưa ra bản vá mới của iOS, iPadOS và macOS, tải lên WebKit trên GitHub cho các nhà phát triển thử nghiệm trước. Bản cập nhật chính thức cho iPhone, iPad và máy tính Mac sẽ được phát hành vào tuần tới.

Trình duyệt Safari mặc định trên iPhone đang gặp lỗi nghiêm trọng. Ảnh: PhoneArena

Lỗi xuất hiện trong quá trình triển khai thành phần IndexedDB của Safari 15, cho phép một website có thể lấy được thông tin về tên miền của các trang web mà người dùng truy cập. Nếu khai thác lỗ hổng, kẻ xấu có thể biết người dùng đang vào những trang nào theo thời gian thực.

Theo các chuyên gia, đây là lỗi nghiêm trọng và vi phạm quyền riêng tư người dùng một cách rõ ràng. Nó còn trở nên nguy hiểm đối với một số dịch vụ mà địa chỉ web có chứa ID của người dùng. Ví dụ, với dịch vụ của Google, trình duyệt Safari lưu trữ một phiên bản IndexedDB ứng với mỗi tài khoản mà người dùng đăng nhập, trong đó có kèm theo ID tài khoản.

Safari 15 là phiên bản mới nhất của trình duyệt Safari, có mặt trên các thiết bị Apple như iPhone, iPad, máy Mac. Trước khi bản vá có mặt, để tự bảo vệ mình, biện pháp tạm thời là kích hoạt chế độ chặn JavaScript. Tuy nhiên giải pháp này khiến việc duyệt web trở nên khó khăn hơn. Một cách khác là dùng trình duyệt khác thay thế cho Safari.