Ứng dụng nhắn tin của Verizon có thể bị tấn công qua SMS

Linh Anh| 25/05/2017 14:31
Theo dõi ICTVietnam trên

Dịch vụ nhắn tin của Verizon đã bị ảnh hưởng bởi lỗ hổng mà tin tặc có thể dễ dàng khai thác để triển khai tấn công chèn mã độc (cross-site scripting –XSS) sử dụng tin nhắn SMS.

Verizon Messages (Message ) là một dịch vụ nhắn tin đa phương tiện và văn bản, cho phép người dùng gửi và nhận tin nhắn trên nhiều loại thiết bị, bao gồm điện thoại di động và máy tính để bàn mà không bị gián đoạn.

Nhà nghiên cứu Randy Westergren đã phân tích tính năng SMS (nhắn tin đa phương tiện) của ứng dụng và sau khi gửi một số URL tới một tài khoản thử để xem từng loại liên kết được phản hồi như thế nào thì thấy rằng việc thêm một dấu ngoặc kép tới một URL cho phép ông thoát khỏi thuộc tính HREF (xác định địa chỉ của tệp được liên kết) và thực thi mã JavaScript tùy ý.

Theo nhà nghiên cứu, một kẻ tấn công chỉ cần gửi một SMS lừa đảo đặc biệt tới người dùng mục tiêu là có thể chiếm toàn bộ quyền điều khiển các phiên làm việc của nạn nhân. Chỉ cần người dùng nhấn chuột vào tin nhắn có chứa mã độc là tin tặc có thể chiếm mọi tính năng, bao gồm cả việc gửi tin nhắn SMS hoặc chặn tin nhắn trên danh nghĩa người dùng.

Nhà nghiên cứu gửi mã PoC (tài liệu để làm chứng cứ cho một sản phẩm hay dịch vụ tiềm năng nào đó có khả năng thành công) kèm theo video và ảnh chụp màn hình tới Verizon vào giữa tháng 11 năm 2016. Sự cố này đã được công ty viễn thông này giải quyết trong vài tuần, nhưng những thông tin cụ thể chỉ mới được tiết lộ vào hôm chủ nhật vừa qua.

Đây không phải lần đầu tiên nhà nghiên cứu tìm thấy một lỗ hổng nghiêm trọng tiềm ẩn trong dịch vụ của Verizon. Vào tháng 1 năm 2015, Randy Westergren phát hiện một lỗ hổng trong dịch vụ web FiOS của Verizon có thể đã bị khai thác để tấn công các tài khoản email.

Năm ngoái, chuyên gia cũng phát hiện một lỗ hổng bảo mật trong dịch vụ webmail của Verizon có thể bị tin tặc lợi dụng để chuyển tiếp email của người dùng tới địa chỉ tùy ý.

Nổi bật Tạp chí Thông tin & Truyền thông
  • Báo chí quốc tế viết gì về Triển lãm Quốc phòng quốc tế Việt Nam 2024?
    Sự kiện Triển lãm Quốc phòng quốc tế Việt Nam năm 2024 thu hút sự chú ý trong - ngoài nước và cả nhiều cơ quan truyền thông quốc tế.
  • “AI như là một chiếc gương đen”
    Bài báo "AI is the Black Mirror" của Philip Ball cung cấp một cái nhìn chi tiết về trí tuệ nhân tạo (AI) và tác động của nó đến nhận thức con người.
  • Chất lượng thông tin báo chí về kinh tế - Vai trò, yêu cầu thước đo và giải pháp cần có
    Báo chí kinh tế cần là diễn đàn thực thụ cho doanh nghiệp, không chỉ cung cấp thông tin. Thông tin cần chính xác và kịp thời để hỗ trợ doanh nghiệp trong điều chỉnh chiến lược kinh doanh.
  • Những “ngọn đuốc” ở bản
    Ở Tuyên Quang, người có uy tín là những người đi đầu thay đổi nếp nghĩ, cách làm của bà con dân tộc thiểu số (DTTS). Họ như những “ngọn đuốc” đi trước, thắp sáng, lan tỏa tinh thần trách nhiệm, nêu gương với cộng đồng. Gương mẫu, uy tín, những người có uy tín đã và đang góp sức xây dựng bản làng, thôn xóm ngày càng ấm no, giàu mạnh.
  • 5 lý do để tăng cường bảo mật mạng
    Các chương trình an ninh mạng đã phát triển đáng kể trong vài thập kỷ qua. Sự ra đời của điện toán đám mây đã phá vỡ ranh giới an ninh mạng thông thường của của các doanh nghiệp, buộc các tổ chức phải liên tục cập nhật những chiến lược phòng thủ của mình.
Đừng bỏ lỡ
Ứng dụng nhắn tin của Verizon có thể bị tấn công qua SMS
POWERED BY ONECMS - A PRODUCT OF NEKO