Trong kỷ nguyên số, phần lớn các công ty tiếp thị, quảng cáo và phân tích thị trường đều theo dõi người dùng trên Internet nhằm tìm hiểu sở thích người dùng, từ đó cung cấp quảng cáo đến đúng mục tiêu. Hầu hết các giải pháp này dựa vào cookie của bên thứ 3 - cookie được đặt trên một tên miền khác với tên miền người dùng đang duyệt, cho phép các công ty như Google và Facebook định danh người dùng để theo dõi mọi di chuyển của người dùng trên các trang web khác nhau.
Tuy nhiên, lỗ hổng trong phần mềm bảo mật Kaspersky Antivirus đã lộ lọt thông tin nhận dạng người dùng được liên kết với mọi trang web mà người dùng truy cập trong 4 năm qua. Điều này có thể cho phép các trang web đó và các dịch vụ bên thứ ba khác theo dõi người dùng trên web ngay cả khi đã chặn hoặc xóa cookie của bên thứ ba.
Lỗ hổng có định danh CVE-2019-8286 và được phát hiện bởi nhà nghiên cứu bảo mật độc lập Ronald Eikenberg. Lỗ hổng nằm trong phương thức hoạt động của một mô-đun quét URL được tích hợp vào phần mềm antivirus, được gọi là Kaspersky URL Advisor.
Theo mặc định, giải pháp bảo mật của Kaspersky Internet chèn trực tiếp tệp JavaScript được lưu trữ từ xa vào mã HTML của mọi trang web người dùng truy cập, trên tất cả các trình duyệt web ngay cả trong chế độ ẩn danh. Hành động này là để kiểm tra xem trang đó có trong danh sách các địa chỉ web đáng ngờ và lừa đảo không.
Hầu hết các giải pháp bảo mật Internet đều hoạt động theo cách này để giám sát các trang web xem có nội dung độc hại hay không. Tuy nhiên, Eikenberg nhận thấy rằng, URL của tệp JavaScript này chứa một chuỗi ký tự duy nhất ứng với mỗi người dùng Kaspersky - một loại mã định danh phổ quát duy nhất (universally unique identifier - UUID), có thể dễ dàng bị các trang web, dịch vụ phân tích và quảng cáo của bên thứ ba lấy được, từ đó quyền riêng tư của người dùng có nguy cơ bị xâm phạm.
Theo nhà nghiên cứu, đây không phải là phương thức bảo mật tốt vì các tập lệnh khác thực thi trong ngữ cảnh của tên miền trang web có thể truy cập mã HTML bất cứ lúc nào. Điều này có nghĩa là bất kỳ trang web nào cũng có thể đọc được ID Kaspersky của người dùng và sử dụng nó để theo dõi. ID này không thay đổi sau vài ngày, cho thấy mã này có thể được gán vĩnh viễn cho một máy tính cụ thể.
Eikenberg đã báo cáo phát hiện của mình tới Kaspersky. Hãng đã công nhận lỗ hổng này và xử lý bằng cách gán một giá trị không đổi (FD126C42-EBFA-4E12-B309-BB3FDD723AC1) cho tất cả người dùng thay vì sử dụng UUID trong URL JavaScript. Lỗ hổng này được xếp vào nhóm lộ lọt dữ liệu người dùng. Tin tặc phải chuẩn bị và triển khai một mã lệnh độc hại trên các máy chủ web mà từ đó sẽ theo dõi người dùng.
Tuy nhiên, tính năng Kaspersky URL Advisor vẫn cho phép các trang web và dịch vụ của bên thứ ba tìm hiểu liệu khách truy cập có cài đặt phần mềm Kaspersky trên hệ thống của mình hay không. Nhà nghiên cứu cho rằng điều này có thể bị lạm dụng bởi kẻ lừa đảo và tội phạm mạng một cách gián tiếp.
Eikenberg cảnh báo, tin tặc có thể sử dụng thông tin này để gửi mã độc tương ứng với phần mềm bảo mật hoặc chuyển hướng nó đến một trang lừa đảo tương ứng, với thông báo như: “Giấy phép Kaspersky của bạn đã hết hạn. Vui lòng nhập số thẻ tín dụng của bạn để gia hạn đăng ký”.
Các phiên bản cập nhật của các sản phẩm Kaspersky bao gồm Antivirus, Internet Security, Total Security, Free Antivirus và Small Office Security đã được gửi tới những người dùng bị ảnh hưởng. Tuy nhiên, nếu muốn tắt hẳn tính năng có thể cho phép theo dõi này, thì người dùng có thể vào Settings → Additional → Network và bỏ chọn hộp Traffic processing như hình dưới đây.
Nguyễn Anh Tuấn
The Hacker News
14:00 | 07/11/2019
09:00 | 23/10/2019
08:00 | 08/07/2019
10:00 | 15/02/2023
17:00 | 25/02/2021
09:00 | 25/09/2019
10:00 | 26/03/2019
09:00 | 25/09/2019
14:00 | 23/01/2019
14:00 | 11/04/2024
RisePro là một trình đánh cắp thông tin dưới dạng dịch vụ, được phát hiện lần đầu tiên vào năm 2022. Tuy nhiên, mới đây phần mềm độc hại này đã xuất hiện trở lại với mã hóa chuỗi mới. Các nhà nghiên cứu tới từ công ty an ninh mạng G Data CyberDefense AG (Đức) tìm thấy một số kho GitHub cung cấp phần mềm bẻ khóa được sử dụng để phân phối RisePro.
14:00 | 23/02/2024
Trong thời đại kỹ thuật số phát triển như hiện nay, tấn công phishing đã trở thành một mối đe dọa rất khó phòng tránh đối với người dùng mạng. Theo báo cáo của Tổ chức toàn cầu về chống lừa đảo trên mạng (Anti-Phishing Working Group), trong quý IV/2022, đã có hơn 304.000 trang web phishing được phát hiện, lừa đảo hơn 300 triệu người dùng trên toàn cầu. Đáng chú ý, số lượng trang web phishing đã tăng lên 6,9% so với quý trước, đạt mức cao nhất trong vòng 5 năm. Các cuộc tấn công phishing nhắm vào các tổ chức tài chính, ngân hàng và thanh toán trực tuyến chiếm 42,4% tổng số các cuộc tấn công. Số lượng các tên miền giả mạo đã tăng lên 11,5% so với quý III/2022, đạt mức cao nhất trong vòng 3 năm. Trong bối cảnh như vậy, việc nâng cao nhận thức và có các biện pháp đối phó với tấn công phishing là rất quan trọng.
09:00 | 01/02/2024
Một lỗ hổng nghiêm trọng trong giao diện dòng lệnh (CLI) của Jenkins cho phép kẻ tấn công lấy được các khóa mật mã có thể được sử dụng để thực thi mã tùy ý từ xa.
13:00 | 13/11/2023
TriangleDB là phần mềm độc hại chính được sử dụng trong chiến dịch Operation Triangulation nhắm vào thiết bị iOS trong các cuộc tấn công zero-click. Bài viết này trình bày chi tiết một khía cạnh quan trọng của cuộc tấn công, bao gồm các module tính năng lén lút được thực hiện bởi các tác nhân đe dọa cùng với những thông tin về các thành phần được sử dụng, dựa trên báo cáo phân tích mới đây của hãng bảo mật Kaspersky.
Các chuyên gia bảo mật cảnh báo rằng thế giới đang phải đối mặt với sự phát triển của những công nghệ mới, mối đe dọa đang ngày càng gia tăng cả về phạm vi, lẫn cường độ của các cuộc tấn công.
08:00 | 17/04/2024