Lỗ hổng trong tính năng chống theo dõi trên Apple Safari khiến người dùng... bị theo dõi

Apple luôn tập trung vào việc bảo vệ quyền riêng tư như một điểm ăn tiền cho những sản phẩm của mình, thế nhưng, các nhà nghiên cứu tại Google vừa phát hiện ra những lỗ hổng trong một tính năng sinh ra để bảo vệ bạn khi sử dụng trình duyệt Safari, khiến dữ liệu và quyền riêng tư của người dùng có thể gặp rủi ro bị lộ.

Trong một bài báo xuất bản hôm thứ Tư, một nhóm các kỹ sư bảo mật tại Google đã tiết lộ một loạt lỗ hổng trên Safari, cho phép tin tặc có thể xem lịch sử lướt web cũng như tìm kiếm. Bài báo cho hay, các lỗ hổng này cũng cho phép những trang web theo dõi hành động của bạn trên internet.

Apple từ chối bình luận nhưng xác nhận đã sửa các lỗi mà Google đã tiết lộ hồi tháng 12.

"Chúng tôi đã làm việc rất lâu với các công ty trên toàn ngành để trao đổi về những lỗ hổng tiềm tàng cũng như bảo vệ lượng người dùng riêng của chúng tôi", Google tuyên bố. "Nhóm nghiên cứu bảo mật cốt lõi của chúng tôi đã làm việc và hợp tác rất chặt chẽ với Apple về vấn đề này. Bài viết kỹ thuật này đơn giản chỉ là giải thích những gì mà các nhà nghiên cứu của chúng tôi phát hiện để nhiều người khác có thể tìm hiểu."

Các lỗ hổng này bắt nguồn từ tính năng Intelligent Tracking Prevention của Safari, được Apple công bố lần đầu tiên vào năm 2017. Công cụ này được thiết kế để bảo vệ người dùng Safari tránh khỏi các cookie theo dõi thông qua cổng đăng nhập và chặn những trang web sử dụng chúng ngay sau đó.

ITP sẽ ghi lại nhật ký các trang web dưới dạng "những tên miền đang lưu hành" khi nhận thấy chúng gửi dữ liệu cho phép nhiều nhà quảng cáo nhận dạng người dùng. Các bản ghi này sẽ được thêm vào một "danh sách ITP", theo những nhà nghiên cứu.

Theo bài viết của Google, về cơ bản, cách ghi lại nhật ký này đã tạo ra một cách để những kẻ tấn công tiềm năng có thể có được một cái nhìn chi tiết về lịch sử duyệt web của một người.

Một trang web có thể kiểm tra xem liệu tiên miền cụ thể có nằm trong danh sách ITP hay không. Nó cực kỳ hữu ích cho việc theo dõi người dùng và có thể thao túng danh sách. Những nhà nghiên cứu của Google cho hay, các lỗ hổng này khiến thông tin bị rò rỉ và cho phép kẻ tấn công chặn truy cập vào một số trang web.

Đây không phải là lần đầu tiên các tính năng bảo vệ quyền riêng tư bị phản tác dụng. Trong năm 2019, Safari đã phải xóa một tính năng có tên Do Not Track bởi một điều trớ trêu là chúng lại cho phép các trang web theo dõi mọi người hiệu quả hơn bằng cách tạo ra một "dấu vân tay" hoặc cài đặt trình duyệt của họ. Do Not Track là một nỗ lực của các nhà phát triển trình duyệt cũng như những người người ủng hộ quyền riêng tư nhằm cung cấp cho mọi người một cách để cho mọi trang web biết rằng không được theo dõi họ. Dẫu vậy, nỗ lực này đã thất bại.

Trước đây, Google cũng đã tiết lộ các lỗ hổng bảo mật nghiêm trọng liên quan đến Apple, bao gồm một bộ lỗi bảo mật trong nhiều thiết bị iOS, được sử dụng nhằm hướng đến những người Hồi giáo Duy Ngô Nhĩ ở Trung Quốc.

Minh Hùng theo CNET