Theo phát hiện của FingerprintJS, trình duyệt Safari 15 có một lỗi nghiêm trọng, có thể làm lộ các hoạt động duyệt web và một số thông tin cá nhân liên quan tới tài khoản Google của người dùng. Được biết, lỗ hổng bảo mật này bắt nguồn từ việc Apple triển khai IndexedDB, một API giúp lưu trữ dữ liệu trên trình duyệt.
Theo FingerprintJS, API IndexedDB phải đảm bảo tuân thủ theo chính sách ‘same-origin’, chỉ các trang web tạo dữ liệu mới có thể truy cập và ngăn chặn các nguồn khác thu thập dữ liệu. Ví dụ nếu bạn mở tài khoản email của mình trong một tab và sau đó mở một trang web độc hại trong một tab khác, chính sách same-origin giúp ngăn chặn trang web độc hại có thể xem và can thiệp vào tab email của bạn.
Tuy nhiên, FingerprintJS phát hiện ra rằng API IndexedDB của Apple trong Safari 15 thực chất không tuân thủ theo chính sách same-origin này. Khi một trang web tạo ra cơ sở dữ liệu mới trong trình duyệt Safari, một cơ sở dữ liệu khác có cùng tên cũng được tạo ra trong tất cả các tab cùng phiên trình duyệt.
Điều này có nghĩa là các trang web khác có thể thu thập cơ sở dữ liệu của nhau, và chúng có thể chứa những thông tin cá nhân cũng như toàn bộ hoạt động duyệt web của bạn. FingerprintJS lưu ý rằng các trang web sử dụng tài khoản Google như YouTube, Gmail hay Google Calendar đều tạo ra cơ sở dữ liệu với thông tin về tài khoản Google của người dùng.
FingerprintJS đã tiến hành thử nghiệm trên Safari 15 của máy tính Mac, iPhone và iPad. Bản demo này sử dụng lỗ hổng nói trên, để xác định các trang web bạn đã mở và cho thấy có thể lấy thông tin tài khoản Google.
Hiện tại người dùng không có cách nào để khắc phục lỗ hổng bảo mật này, ngay cả việc sử dụng chế độ Private Browsing trong Safari. Bạn có thể sử dụng một trình duyệt khác trên macOS, nhưng với iOS thì không có cách nào khác.
FingerprintJS đã thông báo lỗ hổng bảo mật này cho Apple từ ngày 28 tháng 11, nhưng đến nay vẫn chưa có bản vá lỗi nào cho trình duyệt Safari.