Vào tháng 11 năm 2021, các báo cáo về một lỗi Safari gây nguy hiểm cho quyền riêng tư của người dùng đã bị cắt xén trực tuyến. Ảnh hưởng đến người dùng Safari trên nhiều thiết bị, lỗi IndexedDB của Safari 15 cho phép các trang web truy cập thông tin cơ sở dữ liệu mà họ không được phép.
Về bản chất, điều này có nghĩa là các trang web bạn truy cập trên Safari cũng có thể xem các trang web khác mà bạn đã truy cập. Chúng tôi sẽ giải thích những gì bạn có thể làm để ngăn chặn điều đó dưới đây.
Lỗi Safari 15 này làm gì?
Dựa trên các báo cáo từ FingerprintJS, API IndexedDB vi phạm chính sách nguồn gốc trong Safari 15 trên iPhone, iPad và Mac. Với lỗ hổng bảo mật này, các trang web mà người dùng Safari truy cập cũng có thể xem các trang web đã mở khác trên các tab hoặc cửa sổ của nó.
Bên cạnh đó, lỗi này cũng tiết lộ tên của cơ sở dữ liệu cho bất kỳ miền nào mà tin tặc có thể sử dụng để trích xuất thông tin nhận dạng cho bạn. Mặc dù quyền truy cập vào nội dung thực tế của mỗi cơ sở dữ liệu vẫn bị hạn chế, việc thu thập dữ liệu bằng cách sử dụng lỗ hổng này vẫn có thể gây ra các mối lo ngại tiềm ẩn.
FingerprintJS lưu ý rằng tin tặc có thể nhắm mục tiêu người dùng bằng cách lấy thông tin trình duyệt của họ thông qua ID người dùng Google của họ. Bằng cách sử dụng các trang web như YouTube, Lịch Google, v.v., người dùng Safari có nguy cơ tiết lộ thông tin công khai của họ cho các trang web khác mà không được sự đồng ý.
Ngoài ra, lỗ hổng này cũng cho phép các trang web ghép các tài khoản không liên quan lại với nhau trong hồ sơ trực tuyến của bạn. Đối với những người muốn phân quyền danh tính trực tuyến của họ, điều này có thể gây rắc rối.
Nếu bạn muốn tự mình dùng thử, FingerprintJS cũng đã phát hành một bản trình diễn trực tiếp, mô phỏng cách hoạt động của lỗ hổng bảo mật với 30 trang web thường được truy cập.
Trong bản demo, người dùng Safari có thể xem có bao nhiêu cơ sở dữ liệu bị rò rỉ từ trình duyệt của họ dựa trên các trang web họ đã truy cập. Nếu có thể, bản trình diễn cũng sẽ tiết lộ ID người dùng Google duy nhất và ảnh hồ sơ của bạn.
Kể từ tháng 1 năm 2022, các kỹ sư của Apple đã bắt đầu làm việc để giải quyết vấn đề, như được hiển thị trên GitHub. Lý tưởng nhất, Safari sẽ có thể hạn chế các trang web nhìn thấy cơ sở dữ liệu được tạo bởi cùng một tên miền với tên miền của chính nó. Kể từ khi viết bài, tất cả các phiên bản hiện tại của Safari trên iPhone, iPad và Mac đều đang gặp lỗi.
Cập nhật: Vào ngày 27 tháng 1 năm 2022, Apple đã phát hành iOS 15.3, hứa hẹn sẽ giải quyết lỗi bảo mật với Safari 15. Cập nhật thiết bị Apple của bạn lên bản cập nhật phần mềm mới nhất để được hưởng lợi từ bản sửa lỗi này.
Bạn có thể làm gì để bảo vệ mình khỏi lỗi Safari 15?
Trong khi đó, người dùng Safari có thể tận dụng các giải pháp thay thế tiềm năng trong khi lỗ hổng bảo mật vẫn tiếp tục tồn tại. Cho đến khi Apple có thể giải quyết các sự cố Safari của mình bằng bản cập nhật, chỉ có một số điều mà người dùng Safari có thể làm để tự bảo vệ mình:
Xóa Thông tin Công khai
Vì lỗi Safari 15 tích cực khai thác cơ sở dữ liệu, nên việc giảm quyền truy cập vào dữ liệu mà nó có thể thu thập là rất hợp lý. Vì vậy, mặc dù bạn không thể làm cho ID Google của mình biến mất, nhưng bạn có thể làm cho ít thông tin được liên kết với nó hơn. Ví dụ:bạn có thể xóa ảnh hồ sơ trên Google của mình và tạm thời thay đổi tên trên tài khoản Google của mình.
Làm việc để Phân cấp Dữ liệu Cá nhân của Bạn
Mặc dù lỗi mới có thể liên kết các tài khoản trực tuyến riêng biệt trong Safari, nhưng có thể khiến tin tặc khó lấy dữ liệu hữu ích từ chúng hơn. Để thực hiện điều này, cách tốt nhất là chủ động phân cấp dữ liệu cá nhân của bạn, bạn có thể thực hiện bằng cách tạo nhiều địa chỉ email, tránh đăng nhập một lần trên các dịch vụ, v.v.
Tránh Duyệt Không cần thiết
Cho đến khi Apple giải quyết được lỗi Safari 15, bạn có thể muốn dành ít thời gian hơn trên các trang web ngẫu nhiên mà bạn không nhất thiết phải tin tưởng với dữ liệu của mình. Trên thực tế, không có gì đảm bảo rằng các trang web uy tín hơn cũng sẽ không cố gắng khai thác lỗ hổng này. Vì lý do này, bạn có thể muốn sử dụng tính năng Thời gian sử dụng thiết bị của iPhone để giữ cho bạn ngoại tuyến lâu hơn.
Sử dụng một trình duyệt khác
Nếu vẫn thất bại, bạn có thể cân nhắc thử một trình duyệt khác. Trên thực tế, có rất nhiều trình duyệt thay thế cung cấp các tùy chọn bảo mật tuyệt vời.
Cho Safari nghỉ ngơi
Để dữ liệu trình duyệt được khai thác, người dùng cuối thậm chí không phải làm bất cứ điều gì ngoại trừ để mở tab hoặc cửa sổ Safari. Rất tiếc, lỗi Safari 15 cũng ảnh hưởng đến chế độ Duyệt web riêng tư của Safari, vì vậy đó cũng không phải là giải pháp hoàn hảo.
Tuy nhiên, có những việc nhỏ khác mà bạn có thể làm để giữ cho quá trình duyệt web của mình được an toàn và bảo mật. Bạn cũng có thể theo dõi Apple và các chủ đề thịnh hành liên quan trên mạng xã hội để tìm hiểu khi các nhà phát triển giải quyết vấn đề.