Lỗi trình duyệt Chrome có thể khiến hàng tỷ người dùng bị trộm dữ liệu

Hiền Thục | 12/08/2020 10:46
Theo dõi ICTVietnam trên

Lỗ hổng cho phép kẻ tấn công vượt qua các biện pháp bảo vệ của chính sách bảo mật nội dung (CSP) và lấy cắp dữ liệu của những người truy cập web.

Một lỗ hổng trong các trình duyệt dựa trên Chromium của Google sẽ cho phép những kẻ tấn công bỏ qua CSP trên các trang web, đánh cắp dữ liệu và thực thi mã giả mạo.

Theo nhà nghiên cứu an ninh mạng của PerimeterX, Gal Weizman, lỗi có mã CVE-2020-6519 được tìm thấy trong Chrome, Opera và Edge, trên Windows, Mac và Android - có khả năng ảnh hưởng đến hàng tỷ người dùng web. Chrome phiên bản 73 (tháng 3/2019) đến 83 bị ảnh hưởng. Phiên bản 84 được phát hành vào tháng 7 là bản đã được sửa lỗi.

Lỗi trình duyệt Chrome có thể khiến hàng tỷ người dùng bị trộm dữ liệu - Ảnh 1.

Trình duyệt Chrome phiên bản 73 (tháng 3/2019) đến 83 bị ảnh hưởng (84 được phát hành vào tháng 7, đây là bản đã được sửa lỗi).

CSP là một tiêu chuẩn web nhằm ngăn chặn một số loại tấn công nhất định, bao gồm cả các cuộc tấn công tạo kịch bản qua trang web (XSS) và các cuộc tấn công đưa vào dữ liệu. CSP cho phép quản trị viên web chỉ định các domain mà trình duyệt nên coi là nguồn hợp lệ của các tập lệnh thực thi. Sau đó, một trình duyệt tương thích với CSP sẽ chỉ thực thi các tập lệnh được tải trong các tệp nguồn nhận được từ các domain đó.

Weizman giải thích, trong nghiên cứu được công bố ngày 10/8: CSP là phương pháp chính được chủ sở hữu trang web sử dụng để thực thi các chính sách bảo mật dữ liệu nhằm ngăn chặn các hoạt động của mã độc hại trên trang web, vì vậy, khi việc thực thi bảo mật trình duyệt có thể bị bỏ qua, dữ liệu cá nhân của người dùng sẽ gặp rủi ro.

Hầu hết các trang web đều sử dụng CSP, bao gồm cả những gã khổng lồ Internet như ESPN, Facebook, Gmail, Instagram, TikTok, WhatsApp, Wells Fargo và Zoom. Một số cái tên đáng chú ý không bị ảnh hưởng, bao gồm GitHub, Google Play Store, LinkedIn, PayPal, Twitter, Trang đăng nhập của Yahoo và Yandex.

Để khai thác lỗ hổng, trước tiên kẻ tấn công cần có quyền truy cập vào máy chủ web (thông qua mật khẩu cưỡng đoạt được hoặc một phương pháp khác), để có thể sửa đổi mã JavaScript. Sau đó, kẻ tấn công có thể thêm chỉ thị frame-src hoặc child-src trong JavaScript để cho phép mã được tải vào và chạy nó, bỏ qua việc thực thi CSP, do đó bỏ qua chính sách bảo mật của trang web, Weizman giải thích.

Nhà nghiên cứu cho biết: "Khi CSP hạn chế quyền truy cập vào thông tin nhạy cảm, các nhà phát triển trang web có thể cho phép các tập lệnh của bên thứ ba được thêm chức năng vào trang thanh toán của họ. Vì vậy, khi CSP bị hỏng, rủi ro đối với các trang web dựa vào đó có khả năng cao hơn so với trang chưa có CSP.

Lỗ hổng bảo mật đã xuất hiện trong trình duyệt Chrome hơn một năm trước khi được sửa, vì vậy, Weizman cảnh báo rằng hệ quả đầy đủ của lỗi này vẫn chưa được biết rõ: "Rất có thể chúng tôi sẽ tìm hiểu về các xâm phạm trên các dữ liệu đã bị khai thác và dẫn đến việc lọc thông tin nhận dạng cá nhân (PII) cho các mục đích bất chính trong những tháng tới".

Người dùng nên cập nhật trình duyệt của mình lên phiên bản mới nhất để tránh trở thành nạn nhân của những kẻ xấu.

Nổi bật Tạp chí Thông tin & Truyền thông
Đừng bỏ lỡ
  • Xây dựng hạ tầng cho mạng 5G tương lai của Việt Nam
    Đông Nam Á là một trong những khu vực có tốc độ phát triển nhanh nhất trên thế giới. Dự kiến tới năm 2030, ASEAN (gồm 10 quốc gia Đông Nam Á) sẽ trở thành nền kinh tế lớn thứ tư toàn cầu. Phần lớn động lực thúc đẩy sự phát triển này đến từ sự vận động và tăng trưởng không ngừng của nền kinh tế số trong khu vực, với giá trị ước tính lên đến gần 1 nghìn tỉ đô-la vào năm 2030.
  • Samsung Networks giải bài toán khó
    Doanh số bán hàng mảng kinh doanh mạng của Samsung đang giảm tốc so với Ericsson và Nokia.
  • Hệ sinh thái Viettel 5G2B gỡ "nút thắt" của sản xuất thông minh
    Máy móc vận hành tự động, robot xuất hiện ở mọi công đoạn để giảm sức người, hoạt động sản suất được giám sát toàn trình… và tất cả được kết nối trên nền tảng một mạng 5G riêng chính là viễn cảnh sản xuất thông minh mà 5G2B của Viettel đã hiện thực hoá.
  • Kiosk y tế thông minh giúp người dân dễ dàng đăng ký khám chữa bệnh
    Hệ thống Kiosk y tế thông minh giúp người dân có thể tự đăng ký khám, chữa bệnh và thanh toán viện phí nhanh chóng, dễ dàng. Đồng thời, các y, bác sĩ có thể chủ động tiếp nhận thông tin, theo dõi lịch sử khám, chữa bệnh của bệnh nhân thuận tiện hơn.
  • Để mọi người dân có thể sử dụng trợ lý ảo khi thực hiện dịch vụ công trực tuyến
    Ứng dụng trợ lý ảo để hỗ trợ người dân thực hiện các dịch vụ công trực tuyến là một xu hướng đã được nhiều quốc gia trên thế giới tiến hành. Tại Việt Nam, một số địa phương cũng đã và đang tiến đến dùng chatbot, tuy nhiên, hiệu quả vẫn chưa cao.
  • Đưa tiếng nói và kinh nghiệm của trẻ em vào các thảo luận về an toàn trực tuyến
    Một trong những giải pháp nhằm bảo vệ trẻ em trên môi trường Internet là đưa tiếng nói và kinh nghiệm của trẻ em vào các cuộc thảo luận về an toàn trực tuyến, cũng như cung cấp cho các em một nền tảng để các em tự mình thể hiện những việc cần làm trên không gian mạng.
  • Tăng tốc chuyển đổi số với hệ sinh thái ứng dụng 5G của Viettel
    Hệ sinh thái ứng dụng 5G của Viettel mang đến sự đột phá về khả năng tự động hóa, tạo ra sự thay đổi toàn diện trong vận hành ở 7 lĩnh vực trọng điểm như sản xuất công nghiệp, giao thông vận tải và logistics, nông nghiệp, y tế, giáo dục, năng lượng và thành phố thông minh.
  • Đại hội đại biểu các dân tộc thiểu số TP. Hà Nội lần thứ IV diễn ra thành công, tốt đẹp
    Ngày 5/11, tại Cung Văn hóa Lao động Hữu nghị Việt Xô đã diễn ra phiên chính thức Đại hội đại biểu các dân tộc thiểu số TP. Hà Nội lần thứ IV năm 2024 với sự tham dự của 250 đại biểu đại diện cho cộng đồng các dân tộc trên địa bàn Thủ đô.
  • Giải pháp để nâng cao năng lực báo chí viết về kinh tế
    Để nâng cao năng lực báo chí viết về kinh tế cần tăng cường hoạt động nghiên cứu để xây dựng hệ giá trị, mô hình đào tạo và phát triển đội ngũ nhà báo viết về kinh tế; xây dựng bộ chỉ số đo năng lực các cơ quan báo chí về chủ đề kinh tế; thúc đẩy song song các hoạt động nghiên cứu - đào tạo - bồi dưỡng...
  • FPT Shop ‘bùng nổ’ ưu đãi Black Friday dành riêng cho SIM FPT
    Từ nay đến hết ngày 30/11, FPT Shop triển khai chương trình ưu đãi Black Friday dành riêng cho SIM FPT với hàng loạt gói cước siêu hấp dẫn, giúp bạn thỏa sức lướt mạng, xem phim, kết nối mọi lúc mọi nơi với chi phí tiết kiệm nhất.
Lỗi trình duyệt Chrome có thể khiến hàng tỷ người dùng bị trộm dữ liệu
POWERED BY ONECMS - A PRODUCT OF NEKO