Lỗ hổng trong tính năng tìm kiếm của Facebook
Vào tháng 8/2018, nhà nghiên cứu bảo mật Ron Masas của công ty an ninh mạng Imperva (Mỹ) đã công bố một lỗ hổng trong trình duyệt Chrome, cho phép tin tặc có thể lấy cắp nhiều thông tin nhạy cảm của người dùng Facebook. Sau đó, vào trung tuần tháng 11/2018, Masas tiếp tục công bố đã phát hiện thêm một lỗ hổng nữa của Facebook. Lỗ hổng này có thể cho phép các trang web khác trích xuất thông tin cá nhân và danh bạ của người dùng trên tất cả các trình duyệt, không chỉ giới hạn ở Chrome.
Lỗ hổng này nằm trong tính năng tìm kiếm của Facebook, có thể tạo các truy vấn tìm kiếm phản ánh thông tin cá nhân về người dùng. Bằng việc sử dụng những câu hỏi có hoặc không cơ bản, Masas có thể tìm kiếm được các thông tin nhạy cảm của người dùng như trang họ thích, địa điểm chụp ảnh, thông tin bạn bè, vị trí đăng ảnh, nơi họ đang sống,....
Cũng giống như vụ rò rỉ dữ liệu người dùng do Cambridge Analytica, dữ liệu này rất có giá trị đối với những kẻ tấn công muốn phát triển các cuộc tấn công kỹ nghệ xã hội tinh vi hoặc, bán dữ liệu cho các công ty quảng cáo. Đặc biệt, lỗ hổng này có thể làm lộ thông tin về sở thích của người dùng và bạn bè của họ, ngay cả khi họ cài đặt sở thích ở chế độ Bạn bè.
Lỗ hổng này được khai thác dựa trên thành phần iframe trong tính năng tìm kiếm của Facebook. Điều này cho phép thông tin vượt qua các miền, có nghĩa là nếu người dùng truy cập tới một trang web cụ thể nào đó, tin tặc có thể mở Facebook và thu thập thông tin về người dùng và bạn bè của họ.
Masas cảnh báo rằng kỹ thuật này có thể sẽ phổ biến hơn trong năm 2019. Các lỗi thường là do lỗ hổng vượt qua xác thực để truy cập thông tin cá nhân, nhưng lỗi này cho phép tin tặc khai thác việc Facebook sử dụng iframe để lấy thông tin cá nhân của người dùng mà không để lại dấu vết như kỹ thuật vượt qua xác thực.
Tấn công thử nghiệm của nhà nghiên cứu
Để khai thác lỗ hổng này, Masas đã tạo ra một trang web độc hại để thu hút người dùng. Nếu người dùng tương tác với trang web này theo bất kỳ phương pháp nào, như cuộn hoặc nhấp vào trang, thì mã độc JavaScript sẽ thực thi tự động các truy vấn tìm kiếm trong tab mới.
Masas giải thích rằng, tin tặc có thể sử dụng một kỹ thuật gọi là "Tab-Under" để mở trang Facebook Search bên trong tab nền, khiến người dùng chỉ tập trung vào trang độc hại chính. Trang web độc hại chính có thể là một trang trò chơi trực tuyến, cổng xem phim trực tuyến hoặc một vài tin tức.
Vì ngày nay, kỹ thuật Tab-Under thường được sử dụng để chèn các loại quảng cáo trực tuyến, nên hầu hết người dùng sẽ không chú ý đến tab mới đang được mở trong nền trình duyệt của họ và chỉ coi đó là một quảng cáo.
Khi người dùng tương tác với trang độc hại, tập lệnh của Masas sẽ tự động hóa một loạt các tìm kiếm trên Facebook thông qua API đồ thị của Facebook (Facebook Graph API), đếm số lượng iframe mà các kết quả tìm kiếm trả về thông qua thuộc tính "fb.frames.length" và ghi lại các thông tin đó.
Tấn công này sẽ không xảy ra nếu người dùng mở ít tab trong trình duyệt và họ thấy một tab Facebook lạ đang mở ra. Nhưng vì hầu hết người dùng có xu hướng mở nhiều tab trong trình duyệt nên họ sẽ không để ý tới.
Hơn nữa, không cần mở các tab riêng biệt cho mỗi truy vấn tìm kiếm nên cho phép tin tặc mở lại tab hiện có với đường dẫn tìm kiếm mới trong khoảng thời gian ngắn. Điều này đặc biệt nguy hiểm cho người dùng di động, vì tab mở có thể dễ dàng bị trôi trong nền, cho phép kẻ tấn công trích xuất kết quả cho nhiều truy vấn, trong khi người dùng đang xem video hoặc đọc một bài viết trên trang web của kẻ tấn công.
Theo Masas, tấn công này hoạt động trên tất cả các trình duyệt, không chỉ giới hạn ở Chrome như lỗi Facebook mà ông tìm thấy trước đó vào tháng 8/2018.
Trong một tuyên bố được chia sẻ gần đây, phát ngôn viên Facebook – Margarita Zolotova nói rằng, Facebook đánh giá cao báo cáo của nhà nghiên cứu Ron Masas. Facebook đã khắc phục sự cố trong trang tìm kiếm và chưa phát hiện bất kỳ hành vi lạm dụng nào. Facebook cũng đưa ra đề xuất tới các nhà phát triển trình duyệt và các nhóm tiêu chuẩn web có liên quan để khuyến khích thực hiện các bước nhằm ngăn chặn vấn đề này xảy ra trong các ứng dụng web khác.
Tuấn Dũng
14:00 | 07/11/2018
08:00 | 25/12/2018
08:00 | 01/10/2018
14:00 | 14/12/2018
09:00 | 27/07/2018
08:00 | 02/01/2020
08:00 | 21/03/2024
Phần mềm độc hại mới trên Linux có tên là GTPDOOR được thiết kế để nhắm mục tiêu vào các mạng viễn thông dựa trên khai thác giao thức đường hầm trên GPRS (GPRS Tunneling Protocol-GTP) để thực thi câu lệnh và điều khiển (C2).
16:00 | 15/03/2024
Ngày 11/3, Văn phòng Thủ tướng Pháp thông báo một số cơ quan nhà nước của Pháp đã bị tấn công mạng với cường độ chưa từng có đồng thời nhấn mạnh rằng chính phủ đã có thể hạn chế tác động từ vụ việc này.
14:00 | 19/02/2024
Tin tặc có thể giành quyền truy cập root trên nhiều bản phân phối chính của Linux trong cấu hình mặc định bằng cách khai thác lỗ hổng leo thang đặc quyền cục bộ mới được tiết lộ trong Thư viện GNU C (glibc).
13:00 | 29/12/2023
Các ứng dụng Google Play thường được kiểm soát chặt chẽ và được kiểm duyệt trước khi phân phối, tuy nhiên, tin tặc vẫn có thể sử dụng nhiều kỹ thuật khác nhau để vượt qua các kiểm tra. Nhiều ứng dụng độc hại hiện nay trên Google Play được phát hiện có nguồn cung và giao dịch trên web đen. Bài báo sẽ giới thiệu đến độc giả tổng quan về các loại dịch vụ được rao bán trên web đen để tải lên các phần mềm độc hại trên Google Play dựa theo một báo cáo của Kaspersky.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Một nhóm tin tặc được cho là từ Việt Nam đang nhắm mục tiêu vào các tổ chức tài chính ở châu Á để đánh cắp các dữ liệu tài chính.
10:00 | 24/04/2024
