Ứng dụng nhắn tin của Verizon có thể bị tấn công qua SMS

Verizon Messages (Message ) là một dịch vụ nhắn tin đa phương tiện và văn bản, cho phép người dùng gửi và nhận tin nhắn trên nhiều loại thiết bị, bao gồm điện thoại di động và máy tính để bàn mà không bị gián đoạn.

Nhà nghiên cứu Randy Westergren đã phân tích tính năng SMS (nhắn tin đa phương tiện) của ứng dụng và sau khi gửi một số URL tới một tài khoản thử để xem từng loại liên kết được phản hồi như thế nào thì thấy rằng việc thêm một dấu ngoặc kép tới một URL cho phép ông thoát khỏi thuộc tính HREF (xác định địa chỉ của tệp được liên kết) và thực thi mã JavaScript tùy ý.

Theo nhà nghiên cứu, một kẻ tấn công chỉ cần gửi một SMS lừa đảo đặc biệt tới người dùng mục tiêu là có thể chiếm toàn bộ quyền điều khiển các phiên làm việc của nạn nhân. Chỉ cần người dùng nhấn chuột vào tin nhắn có chứa mã độc là tin tặc có thể chiếm mọi tính năng, bao gồm cả việc gửi tin nhắn SMS hoặc chặn tin nhắn trên danh nghĩa người dùng.

Nhà nghiên cứu gửi mã PoC (tài liệu để làm chứng cứ cho một sản phẩm hay dịch vụ tiềm năng nào đó có khả năng thành công) kèm theo video và ảnh chụp màn hình tới Verizon vào giữa tháng 11 năm 2016. Sự cố này đã được công ty viễn thông này giải quyết trong vài tuần, nhưng những thông tin cụ thể chỉ mới được tiết lộ vào hôm chủ nhật vừa qua.

Đây không phải lần đầu tiên nhà nghiên cứu tìm thấy một lỗ hổng nghiêm trọng tiềm ẩn trong dịch vụ của Verizon. Vào tháng 1 năm 2015, Randy Westergren phát hiện một lỗ hổng trong dịch vụ web FiOS của Verizon có thể đã bị khai thác để tấn công các tài khoản email.

Năm ngoái, chuyên gia cũng phát hiện một lỗ hổng bảo mật trong dịch vụ webmail của Verizon có thể bị tin tặc lợi dụng để chuyển tiếp email của người dùng tới địa chỉ tùy ý.