Một lỗ hổng trong các trình duyệt dựa trên Chromium của Google sẽ cho phép những kẻ tấn công bỏ qua CSP trên các trang web, đánh cắp dữ liệu và thực thi mã giả mạo.
Theo nhà nghiên cứu an ninh mạng của PerimeterX, Gal Weizman, lỗi có mã CVE-2020-6519 được tìm thấy trong Chrome, Opera và Edge, trên Windows, Mac và Android - có khả năng ảnh hưởng đến hàng tỷ người dùng web. Chrome phiên bản 73 (tháng 3/2019) đến 83 bị ảnh hưởng. Phiên bản 84 được phát hành vào tháng 7 là bản đã được sửa lỗi.
CSP là một tiêu chuẩn web nhằm ngăn chặn một số loại tấn công nhất định, bao gồm cả các cuộc tấn công tạo kịch bản qua trang web (XSS) và các cuộc tấn công đưa vào dữ liệu. CSP cho phép quản trị viên web chỉ định các domain mà trình duyệt nên coi là nguồn hợp lệ của các tập lệnh thực thi. Sau đó, một trình duyệt tương thích với CSP sẽ chỉ thực thi các tập lệnh được tải trong các tệp nguồn nhận được từ các domain đó.
Weizman giải thích, trong nghiên cứu được công bố ngày 10/8: CSP là phương pháp chính được chủ sở hữu trang web sử dụng để thực thi các chính sách bảo mật dữ liệu nhằm ngăn chặn các hoạt động của mã độc hại trên trang web, vì vậy, khi việc thực thi bảo mật trình duyệt có thể bị bỏ qua, dữ liệu cá nhân của người dùng sẽ gặp rủi ro.
Hầu hết các trang web đều sử dụng CSP, bao gồm cả những gã khổng lồ Internet như ESPN, Facebook, Gmail, Instagram, TikTok, WhatsApp, Wells Fargo và Zoom. Một số cái tên đáng chú ý không bị ảnh hưởng, bao gồm GitHub, Google Play Store, LinkedIn, PayPal, Twitter, Trang đăng nhập của Yahoo và Yandex.
Để khai thác lỗ hổng, trước tiên kẻ tấn công cần có quyền truy cập vào máy chủ web (thông qua mật khẩu cưỡng đoạt được hoặc một phương pháp khác), để có thể sửa đổi mã JavaScript. Sau đó, kẻ tấn công có thể thêm chỉ thị frame-src hoặc child-src trong JavaScript để cho phép mã được tải vào và chạy nó, bỏ qua việc thực thi CSP, do đó bỏ qua chính sách bảo mật của trang web, Weizman giải thích.
Nhà nghiên cứu cho biết: "Khi CSP hạn chế quyền truy cập vào thông tin nhạy cảm, các nhà phát triển trang web có thể cho phép các tập lệnh của bên thứ ba được thêm chức năng vào trang thanh toán của họ. Vì vậy, khi CSP bị hỏng, rủi ro đối với các trang web dựa vào đó có khả năng cao hơn so với trang chưa có CSP.
Lỗ hổng bảo mật đã xuất hiện trong trình duyệt Chrome hơn một năm trước khi được sửa, vì vậy, Weizman cảnh báo rằng hệ quả đầy đủ của lỗi này vẫn chưa được biết rõ: "Rất có thể chúng tôi sẽ tìm hiểu về các xâm phạm trên các dữ liệu đã bị khai thác và dẫn đến việc lọc thông tin nhận dạng cá nhân (PII) cho các mục đích bất chính trong những tháng tới".
Người dùng nên cập nhật trình duyệt của mình lên phiên bản mới nhất để tránh trở thành nạn nhân của những kẻ xấu.