Lỗi trình duyệt Chrome có thể khiến hàng tỷ người dùng bị trộm dữ liệu

Hiền Thục | 12/08/2020 10:46
Theo dõi ICTVietnam trên

Lỗ hổng cho phép kẻ tấn công vượt qua các biện pháp bảo vệ của chính sách bảo mật nội dung (CSP) và lấy cắp dữ liệu của những người truy cập web.

Một lỗ hổng trong các trình duyệt dựa trên Chromium của Google sẽ cho phép những kẻ tấn công bỏ qua CSP trên các trang web, đánh cắp dữ liệu và thực thi mã giả mạo.

Theo nhà nghiên cứu an ninh mạng của PerimeterX, Gal Weizman, lỗi có mã CVE-2020-6519 được tìm thấy trong Chrome, Opera và Edge, trên Windows, Mac và Android - có khả năng ảnh hưởng đến hàng tỷ người dùng web. Chrome phiên bản 73 (tháng 3/2019) đến 83 bị ảnh hưởng. Phiên bản 84 được phát hành vào tháng 7 là bản đã được sửa lỗi.

Lỗi trình duyệt Chrome có thể khiến hàng tỷ người dùng bị trộm dữ liệu - Ảnh 1.

Trình duyệt Chrome phiên bản 73 (tháng 3/2019) đến 83 bị ảnh hưởng (84 được phát hành vào tháng 7, đây là bản đã được sửa lỗi).

CSP là một tiêu chuẩn web nhằm ngăn chặn một số loại tấn công nhất định, bao gồm cả các cuộc tấn công tạo kịch bản qua trang web (XSS) và các cuộc tấn công đưa vào dữ liệu. CSP cho phép quản trị viên web chỉ định các domain mà trình duyệt nên coi là nguồn hợp lệ của các tập lệnh thực thi. Sau đó, một trình duyệt tương thích với CSP sẽ chỉ thực thi các tập lệnh được tải trong các tệp nguồn nhận được từ các domain đó.

Weizman giải thích, trong nghiên cứu được công bố ngày 10/8: CSP là phương pháp chính được chủ sở hữu trang web sử dụng để thực thi các chính sách bảo mật dữ liệu nhằm ngăn chặn các hoạt động của mã độc hại trên trang web, vì vậy, khi việc thực thi bảo mật trình duyệt có thể bị bỏ qua, dữ liệu cá nhân của người dùng sẽ gặp rủi ro.

Hầu hết các trang web đều sử dụng CSP, bao gồm cả những gã khổng lồ Internet như ESPN, Facebook, Gmail, Instagram, TikTok, WhatsApp, Wells Fargo và Zoom. Một số cái tên đáng chú ý không bị ảnh hưởng, bao gồm GitHub, Google Play Store, LinkedIn, PayPal, Twitter, Trang đăng nhập của Yahoo và Yandex.

Để khai thác lỗ hổng, trước tiên kẻ tấn công cần có quyền truy cập vào máy chủ web (thông qua mật khẩu cưỡng đoạt được hoặc một phương pháp khác), để có thể sửa đổi mã JavaScript. Sau đó, kẻ tấn công có thể thêm chỉ thị frame-src hoặc child-src trong JavaScript để cho phép mã được tải vào và chạy nó, bỏ qua việc thực thi CSP, do đó bỏ qua chính sách bảo mật của trang web, Weizman giải thích.

Nhà nghiên cứu cho biết: "Khi CSP hạn chế quyền truy cập vào thông tin nhạy cảm, các nhà phát triển trang web có thể cho phép các tập lệnh của bên thứ ba được thêm chức năng vào trang thanh toán của họ. Vì vậy, khi CSP bị hỏng, rủi ro đối với các trang web dựa vào đó có khả năng cao hơn so với trang chưa có CSP.

Lỗ hổng bảo mật đã xuất hiện trong trình duyệt Chrome hơn một năm trước khi được sửa, vì vậy, Weizman cảnh báo rằng hệ quả đầy đủ của lỗi này vẫn chưa được biết rõ: "Rất có thể chúng tôi sẽ tìm hiểu về các xâm phạm trên các dữ liệu đã bị khai thác và dẫn đến việc lọc thông tin nhận dạng cá nhân (PII) cho các mục đích bất chính trong những tháng tới".

Người dùng nên cập nhật trình duyệt của mình lên phiên bản mới nhất để tránh trở thành nạn nhân của những kẻ xấu.

Nổi bật Tạp chí Thông tin & Truyền thông
  • 5G và những thay đổi toàn diện trong xây dựng thành phố thông minh
    Với tốc độ cực cao, độ trễ cực thấp, băng thông rộng và kết nối mật độ cực lớn, 5G là hạ tầng cốt lõi hỗ trợ toàn diện cho sự đổi mới và phát triển của thành phố thông minh trên tất cả các lĩnh vực, tác động tích cực vào công tác xây dựng và quản lý thành phố, tạo ra một môi trường sống tiện nghi, bền vững và an toàn hơn bao giờ hết.
  • Những động lực tăng trưởng thị trường chữ ký số toàn cầu
    Thị trường chữ ký số toàn cầu đang có ​​sự tăng trưởng chưa từng có khi các doanh nghiệp và cá nhân ngày càng áp dụng các giải pháp số để xác thực tài liệu và giao dịch an toàn.
  • ĐMST mở xã hội mang lại cho 90% doanh nghiệp cơ hội tạo giá trị kinh doanh bền vững
    Theo bà Nguyễn Phương Linh, Viện trưởng Viện MSD, hơn 90% các doanh nghiệp cho rằng đổi mới sáng tạo (ĐMST) mở xã hội mang lại cho doanh nghiệp cơ hội tạo ra giá trị kinh doanh bền vững, tác động tích cực đến xã hội và môi trường.
  • ‏FPT đẩy mạnh phát triển giải pháp low-code tại thị trường Hàn Quốc‏
    ‏Mới đây, FPT vừa ký kết thỏa thuận hợp tác ba năm với OutSystems, chính thức trở thành đối tác phân phối và triển khai tại thị trường Hàn Quốc, đảm bảo thời gian ra mắt phần mềm của khách hàng được rút ngắn và tối ưu chi phí.
  • Người giữ bình yên nơi vùng cao
    Huyện Sơn Động là huyện vùng cao của tỉnh Bắc Giang, có tỷ lệ người dân tộc thiểu số (DTTS) cao nhất tỉnh, chiếm 56,92%, với địa hình rừng núi, giao thông đi lại khó khăn, phong tục tập quán, bản sắc văn hóa đa dạng chính vì vậy công tác đảm bảo an ninh trật tự ở các bản làng luôn là nhiệm vụ được các cấp ủy Đảng quan tâm. Do đó, đội ngũ già làng, trưởng bản, người uy tín luôn là đội ngũ nòng cốt góp phần xây dựng khối đại đoàn kết dân tộc, giữ gìn an ninh trật tự xã hội trong cộng đồng.
Đừng bỏ lỡ
Lỗi trình duyệt Chrome có thể khiến hàng tỷ người dùng bị trộm dữ liệu
POWERED BY ONECMS - A PRODUCT OF NEKO