Lỗ hổng 16 năm của “link màu tím” trên Chrome: Nguy hiểm tiềm ẩn được khám phá!

Tháng 4 18, 2025 Tùng Lâm Nóng trên mạng 0

Hầu hết người dùng trình duyệt Google Chrome đều đã quá quen thuộc với hình ảnh các đường link (liên kết) chuyển từ màu xanh dương mặc định sang màu tím sau khi họ nhấp vào. Đây là một tính năng tiện lợi, giúp người dùng dễ dàng nhận biết những trang web hoặc nội dung nào họ đã xem qua. Tuy nhiên, một sự thật đáng kinh ngạc vừa được Google tiết lộ: cơ chế hoạt động đằng sau “link màu tím” này lại ẩn chứa một lỗ hổng về quyền riêng tư và bảo mật đã tồn tại dai dẳng suốt 16 năm, kể từ những ngày đầu tiên Chrome ra mắt vào tháng 9 năm 2008.

click-here-1744683084657786428894-1744686745715-1744686747646586085316_jpg_75.jpg
Những điểm chính

  • Tính năng hiển thị link màu tím để chỉ các trang đã truy cập trên Google Chrome được xác định là một lỗ hổng bảo mật và quyền riêng tư tồn tại suốt 16 năm.
  • Lỗ hổng này cho phép các trang web độc hại sử dụng kỹ thuật “history sniffing” (dò lịch sử) bằng cách kiểm tra màu sắc của các link ẩn để suy ra những trang người dùng đã truy cập trước đó.
  • Google gọi đây là “lỗi thiết kế cốt lõi” của trình duyệt, có thể bị lợi dụng để theo dõi, lập hồ sơ người dùng hoặc thực hiện lừa đảo phishing.
  • Google đang vá lỗi này bằng cơ chế “phân vùng ba khóa” (triple-key partitioning), khiến trạng thái “đã truy cập” của link chỉ có hiệu lực trong ngữ cảnh cụ thể (URL + website đang xem + khung hiển thị).
  • Bản vá sẽ được phát hành chính thức trong Chrome phiên bản 136, dự kiến vào cuối tháng 4 năm 2025. Người dùng sẽ thấy ít link màu tím hơn sau khi cập nhật.

Lỗ hổng nằm ở đâu?

Vấn đề cốt lõi nằm ở cách Chrome (và nhiều trình duyệt khác trước đây) xử lý trạng thái “đã truy cập” :)visited) của một đường link. Về cơ bản, một khi bạn nhấp vào một đường link URL cụ thể, trình duyệt sẽ ghi nhớ nó. Sau đó, bất kể bạn đang truy cập trang web nào, nếu trang web đó hiển thị lại đúng đường link URL đó, nó sẽ tự động được tô màu tím.

Chính cơ chế “toàn cục” này đã mở ra một cách để các trang web độc hại có thể “nhìn trộm” một phần lịch sử duyệt web của bạn. Kẻ tấn công có thể tạo ra một trang web chứa một danh sách dài các đường link URL ẩn (mà người dùng không nhìn thấy). Bằng cách sử dụng các đoạn mã (ví dụ: JavaScript kết hợp CSS để kiểm tra thuộc tính màu sắc của link thông qua :visited), trang web độc hại có thể âm thầm kiểm tra xem những link nào trong danh sách ẩn đó hiển thị màu tím đối với trình duyệt của bạn. Từ đó, chúng có thể suy ra được bạn đã từng truy cập những trang web nào trong danh sách đó trước đây.

Google thừa nhận đây không chỉ là một vấn đề nhỏ về quyền riêng tư, mà là một “lỗi thiết kế mang tính cốt lõi” (“core design flaw”) của cơ chế hoạt động trình duyệt truyền thống. Lỗ hổng này tiềm ẩn những rủi ro bảo mật thực sự, bao gồm việc bị theo dõi, bị lập hồ sơ người dùng dựa trên thói quen duyệt web, và thậm chí có thể bị lợi dụng trong các chiến dịch lừa đảo phishing tinh vi hơn.

Google vá lỗi bằng “Phân vùng ba khóa”

Sau 16 năm tồn tại, cuối cùng Google cũng đang triển khai một giải pháp triệt để để khắc phục lỗ hổng này. Bản cập nhật Chrome sắp tới sẽ áp dụng một cơ chế mới gọi là “phân vùng ba khóa” (triple-key partitioning) cho trạng thái link đã truy cập.
Với cơ chế mới này, việc một link có hiển thị màu tím hay không sẽ không chỉ phụ thuộc vào bản thân URL đó nữa, mà phụ thuộc vào cả ba yếu tố (ba khóa):

  1. URL của liên kết: Đường dẫn chính xác của trang web.
  2. Trang web cấp cao nhất (Top-level site): Trang web chính mà bạn đang truy cập khi nhìn thấy liên kết đó.
  3. Nguồn khung (Frame origin): Khung (frame/iframe) cụ thể nơi liên kết đó được hiển thị (quan trọng khi link nằm trong các khung nhúng).

Nói một cách đơn giản, một đường link sẽ chỉ hiển thị màu tím nếu bạn đã từng nhấp vào đúng đường link đó, trên đúng trang web cấp cao nhất đó, và trong đúng cái khung hiển thị đó. Điều này ngăn chặn hoàn toàn khả năng một trang web A kiểm tra xem bạn đã truy cập một link nào đó trên trang web B hay chưa.

Hệ quả trực quan đối với người dùng là sau khi cập nhật, bạn sẽ thấy ít “đường link màu tím” hơn so với trước đây, bởi trạng thái “đã truy cập” giờ đây bị giới hạn chặt chẽ trong từng ngữ cảnh cụ thể.

Khi nào bản vá được phát hành?

Google cho biết bản sửa lỗi sử dụng cơ chế “phân vùng ba khóa” này sẽ chính thức được phát hành rộng rãi trong phiên bản Chrome 136, dự kiến ra mắt vào cuối tháng 4 năm 2025. Đây là một bước tiến quan trọng nhằm tăng cường quyền riêng tư và bảo mật cho hàng tỷ người dùng Chrome trên toàn thế giới, khép lại một lỗ hổng đã tồn tại âm thầm suốt hơn một thập kỷ rưỡi.  

Nguồn: https://vnreview.vn/threads/nguy-hiem-tiem-an-tu-link-mau-tim-quen-thuoc-tren-chrome-lo-hong-16-nam-tuoi-bi-phanh-phui.59517/

Bài viết liên quan

About Tùng Lâm 13992 Articles
Xin chào, mình là Tùng Lâm hiện đang làm Marketer tại Web Đánh Giá, chịu trách nhiệm trong việc phát triển các bài viết trên trang web này. Mình thích chia sẻ những kiến thức công nghệ và đam mê trải nghiệm những sản phẩm mới. Cám ơn các bạn đã đọc, theo dõi mình ở những trang mạng xã hội khác nhé!
Website

Be the first to comment

Leave a Reply

Your email address will not be published.


*