Lỗi trình duyệt Chrome có thể khiến hàng tỷ người dùng bị trộm dữ liệu

Hiền Thục | 12/08/2020 10:46
Theo dõi ICTVietnam trên

Lỗ hổng cho phép kẻ tấn công vượt qua các biện pháp bảo vệ của chính sách bảo mật nội dung (CSP) và lấy cắp dữ liệu của những người truy cập web.

Một lỗ hổng trong các trình duyệt dựa trên Chromium của Google sẽ cho phép những kẻ tấn công bỏ qua CSP trên các trang web, đánh cắp dữ liệu và thực thi mã giả mạo.

Theo nhà nghiên cứu an ninh mạng của PerimeterX, Gal Weizman, lỗi có mã CVE-2020-6519 được tìm thấy trong Chrome, Opera và Edge, trên Windows, Mac và Android - có khả năng ảnh hưởng đến hàng tỷ người dùng web. Chrome phiên bản 73 (tháng 3/2019) đến 83 bị ảnh hưởng. Phiên bản 84 được phát hành vào tháng 7 là bản đã được sửa lỗi.

Lỗi trình duyệt Chrome có thể khiến hàng tỷ người dùng bị trộm dữ liệu - Ảnh 1.

Trình duyệt Chrome phiên bản 73 (tháng 3/2019) đến 83 bị ảnh hưởng (84 được phát hành vào tháng 7, đây là bản đã được sửa lỗi).

CSP là một tiêu chuẩn web nhằm ngăn chặn một số loại tấn công nhất định, bao gồm cả các cuộc tấn công tạo kịch bản qua trang web (XSS) và các cuộc tấn công đưa vào dữ liệu. CSP cho phép quản trị viên web chỉ định các domain mà trình duyệt nên coi là nguồn hợp lệ của các tập lệnh thực thi. Sau đó, một trình duyệt tương thích với CSP sẽ chỉ thực thi các tập lệnh được tải trong các tệp nguồn nhận được từ các domain đó.

Weizman giải thích, trong nghiên cứu được công bố ngày 10/8: CSP là phương pháp chính được chủ sở hữu trang web sử dụng để thực thi các chính sách bảo mật dữ liệu nhằm ngăn chặn các hoạt động của mã độc hại trên trang web, vì vậy, khi việc thực thi bảo mật trình duyệt có thể bị bỏ qua, dữ liệu cá nhân của người dùng sẽ gặp rủi ro.

Hầu hết các trang web đều sử dụng CSP, bao gồm cả những gã khổng lồ Internet như ESPN, Facebook, Gmail, Instagram, TikTok, WhatsApp, Wells Fargo và Zoom. Một số cái tên đáng chú ý không bị ảnh hưởng, bao gồm GitHub, Google Play Store, LinkedIn, PayPal, Twitter, Trang đăng nhập của Yahoo và Yandex.

Để khai thác lỗ hổng, trước tiên kẻ tấn công cần có quyền truy cập vào máy chủ web (thông qua mật khẩu cưỡng đoạt được hoặc một phương pháp khác), để có thể sửa đổi mã JavaScript. Sau đó, kẻ tấn công có thể thêm chỉ thị frame-src hoặc child-src trong JavaScript để cho phép mã được tải vào và chạy nó, bỏ qua việc thực thi CSP, do đó bỏ qua chính sách bảo mật của trang web, Weizman giải thích.

Nhà nghiên cứu cho biết: "Khi CSP hạn chế quyền truy cập vào thông tin nhạy cảm, các nhà phát triển trang web có thể cho phép các tập lệnh của bên thứ ba được thêm chức năng vào trang thanh toán của họ. Vì vậy, khi CSP bị hỏng, rủi ro đối với các trang web dựa vào đó có khả năng cao hơn so với trang chưa có CSP.

Lỗ hổng bảo mật đã xuất hiện trong trình duyệt Chrome hơn một năm trước khi được sửa, vì vậy, Weizman cảnh báo rằng hệ quả đầy đủ của lỗi này vẫn chưa được biết rõ: "Rất có thể chúng tôi sẽ tìm hiểu về các xâm phạm trên các dữ liệu đã bị khai thác và dẫn đến việc lọc thông tin nhận dạng cá nhân (PII) cho các mục đích bất chính trong những tháng tới".

Người dùng nên cập nhật trình duyệt của mình lên phiên bản mới nhất để tránh trở thành nạn nhân của những kẻ xấu.

Nổi bật Tạp chí Thông tin & Truyền thông
  • Báo chí quốc tế viết gì về Triển lãm Quốc phòng quốc tế Việt Nam 2024?
    Sự kiện Triển lãm Quốc phòng quốc tế Việt Nam năm 2024 thu hút sự chú ý trong - ngoài nước và cả nhiều cơ quan truyền thông quốc tế.
  • “AI như là một chiếc gương đen”
    Bài báo "AI is the Black Mirror" của Philip Ball cung cấp một cái nhìn chi tiết về trí tuệ nhân tạo (AI) và tác động của nó đến nhận thức con người.
  • Chất lượng thông tin báo chí về kinh tế - Vai trò, yêu cầu thước đo và giải pháp cần có
    Báo chí kinh tế cần là diễn đàn thực thụ cho doanh nghiệp, không chỉ cung cấp thông tin. Thông tin cần chính xác và kịp thời để hỗ trợ doanh nghiệp trong điều chỉnh chiến lược kinh doanh.
  • Những “ngọn đuốc” ở bản
    Ở Tuyên Quang, người có uy tín là những người đi đầu thay đổi nếp nghĩ, cách làm của bà con dân tộc thiểu số (DTTS). Họ như những “ngọn đuốc” đi trước, thắp sáng, lan tỏa tinh thần trách nhiệm, nêu gương với cộng đồng. Gương mẫu, uy tín, những người có uy tín đã và đang góp sức xây dựng bản làng, thôn xóm ngày càng ấm no, giàu mạnh.
  • 5 lý do để tăng cường bảo mật mạng
    Các chương trình an ninh mạng đã phát triển đáng kể trong vài thập kỷ qua. Sự ra đời của điện toán đám mây đã phá vỡ ranh giới an ninh mạng thông thường của của các doanh nghiệp, buộc các tổ chức phải liên tục cập nhật những chiến lược phòng thủ của mình.
Đừng bỏ lỡ
Lỗi trình duyệt Chrome có thể khiến hàng tỷ người dùng bị trộm dữ liệu
POWERED BY ONECMS - A PRODUCT OF NEKO