Lỗ hổng trong các trình duyệt chính cho phép script của bên thứ 3 đánh cắp mật khẩu người dùng

14:00 | 12/01/2018 | LỖ HỔNG ATTT

Các nhà nghiên cứu của trường Đại học Princeton (Hoa Kỳ) vừa phát hiện cách các công ty marketing lợi dụng một lỗ hổng đã tồn tại 11 năm trong trình quản lý mật khẩu dựng sẵn của các trình duyệt, để bí mật đánh cắp địa chỉ thư điện tử của người dùng. Lỗ hổng này cũng có thể bị lợi dụng để đánh cắp tên người dùng và mật khẩu từ các trình duyệt mà không cần sự tương tác của họ.

Các trình duyệt hiện đại như: Google Chrome, Mozilla Firefox, Opera hay Microsoft Edge đều có sẵn trình quản lý mật khẩu dễ sử dụng để lưu thông tin đăng nhập và tự động đăng nhập giúp người dùng. Những trình quản lý mật khẩu đó được thiết kế nhằm tạo ra sự tiện lợi cho người dùng bằng cách tự động phát hiện các mẫu đăng nhập và tự động điền tên người dùng cùng mật khẩu. Tuy nhiên, một nhóm các nhà nghiên cứu từ Trung tâm Chính sách công nghệ thông tin của trường Đại học Princeton đã phát hiện ra rằng, có ít nhất hai công ty marketing là AdThink và OnAudience đang tích cực lợi dụng các trình quản lý mật khẩu đó để theo dõi những khách hàng truy cập vào khoảng 1110 website trong số 1 triệu website hàng đầu theo xếp hạng của Alexa.

Lỗ hổng trong các trình duyệt chính cho phép script của bên thứ 3 đánh cắp mật khẩu người dùng

Các đoạn mã được viết bằng 1 loại ngôn ngữ (script) mà các nhà nghiên cứu tìm thấy trong các website chèn thêm các mẫu đăng nhập vô hình vào trang web, để lừa trình duyệt nhập thông tin đăng nhập của người dùng. Việc điền mẫu đăng nhập thường diễn ra tự động, không cần tới thao tác của người dùng; tất cả các trình duyệt chính đều tự động điền tên người dùng (thường là tài khoản thư điện tử) mà không để ý mẫu đăng nhập có hiển thị hay không. Chrome không tự động điền mật khẩu nếu người dùng không nhấn chuột hay chạm vào một vị trí nào đó trên trang. Các trình duyệt khác thì tự động điền mật khẩu mà không cần lệnh của người dùng.

Vì những script đó được thiết kế chủ yếu để theo dõi người dùng, nên chúng phát hiện tên đăng nhập và gửi thông tin tới máy chủ của bên thứ ba sau khi băm với các thuật toán MD5, SHA1 và SHA256. Giá trị băm sẽ được dùng như ID bền vững cho một người dùng cụ thể, để theo dõi họ qua các trang web. Do địa chỉ thư điện tử của người dùng hầu như không bao giờ thay đổi nên việc xoá một chương trình mà các website đặt vào ổ cứng của người dùng (cookie), dùng chế độ duyệt web ẩn danh, hay thay đổi thiết bị đều không có tác dụng chống lại sự theo dõi của website.

Điều nguy hiểm là không có biện pháp kỹ thuật nào để ngăn các script tương tự thu thập mật khẩu của người dùng. Hầu hết các trình quản lý mật khẩu thứ ba như LastPass và 1Password không bị ảnh hưởng bởi kiểu tấn công này, vì chúng bỏ qua các mẫu đăng nhập vô hình và cần có sự tương tác của người dùng.

Các nhà nghiên cứu đã tạo ra một trang trình diễn để người dùng có thể kiểm tra xem trình quản lý mật khẩu có làm lộ tên đăng nhập và mật khẩu hay không. Các nhà nghiên cứu khuyến cáo, cách tốt nhất để ngăn chặn những tấn công kiểu này là người dùng cần vô hiệu hoá tính năng tự động điền thông tin của trình duyệt.

Nguyễn Anh Tuấn

Theo The Hacker News

‹ › ×

Tin liên quan

LastPass vá các lỗ hổng rò rỉ mật khẩu nghiêm trọng

16:16 | 31/03/2017

Các nhà phát triển của trình quản lý mật khẩu phổ biến LastPass (công ty phát triển phần mềm bảo mật ở Hoa Kỳ) vừa đưa ra bản vá giải quyết một lỗ hổng nghiêm trọng có thể cho phép tin tặc đánh cắp mật khẩu người dùng hoặc thực thi mã độc hại trên máy tính của họ.

1,4 tỷ tài khoản và mật khẩu bị lộ từ mạng xã hội và dịch vụ trực tuyến

07:00 | 29/12/2017

Phát hiện số lượng lớn tài khoản thư điện tử và mật khẩu bị lộ thông tin trên toàn thế giới, trong đó có Việt Nam.

MacOS để lộ mật khẩu của ổ đĩa mã hoá trong ô gợi ý

09:00 | 17/10/2017

Apple mới công bố bản vá lỗ hổng cho macOS High Sierra 10.13 để khắc phục các lỗ hổng trong các ổ đĩa Apple File System (APFS) và phần mềm Keychain.

Hệ thống xác thực mật khẩu 3 lớp

09:00 | 23/05/2018

Mật khẩu là nhân tố được sử dụng phổ biến nhưng cũng được xem là một mắt xích yếu trong hệ thống xác thực. Đã có một số giải pháp được phát triển để giúp người dùng tạo và quản lý mật khẩu. Tuy nhiên, các giải pháp vẫn tồn tại các rủi ro gây mất an toàn thông tin. Bài báo này trình bày về hệ thống xác thực mật khẩu 3 lớp. Đây là hệ thống xác thực đa nhân tố kết hợp các tính năng của các sơ đồ xác thực khác nhau.

Trình duyệt “Made in Vietnam” sắp đạt mốc 24 triệu người dùng

14:00 | 14/01/2020

Trình duyệt tìm kiếm đầu tiên “Made in Vietnam” - Cốc cốc đã gần đạt mốc 24 triệu người dùng, hiện đang đứng thứ hai tại thị trường Việt Nam với gần 18% thị phần trình duyệt theo lượt truy cập và 3,5% thị phần công cụ tìm kiếm.

Tin cùng chuyên mục

Tội phạm mạng sử dụng AI để phát tán phần mềm độc hại trong các chiến dịch lừa đảo trên mạng xã hội

10:00 | 22/04/2024

Trong một xu hướng đáng lo ngại được Bitdefender Labs (Hoa Kỳ) phát hiện gần đây, tin tặc đang tận dụng sự quan tâm ngày càng tăng đối với AI để phát tán các phần mềm độc hại tinh vi. Những kẻ tấn công này đang tung ra các chiến dịch quảng cáo độc hại trên mạng xã hội, giả dạng các dịch vụ AI phổ biến như Midjourney, DALL-E và ChatGPT để đánh lừa người dùng.

Cảnh báo 7 hình thức lừa đảo phổ biến

12:00 | 12/04/2024

Mới đây, Cục An toàn thông tin khuyến nghị người dân cảnh giác với 7 hình thức lừa đảo trực tuyến phổ biến, gồm 5 hình thức trong nước và 2 hình thức có quy mô quốc tế.

Tin tặc Mustang Panda nhắm mục tiêu vào các quốc gia châu Á với biến thể mới của PlugX

09:00 | 06/03/2024

Tác nhân đe dọa liên quan đến Trung Quốc có tên là Mustang Panda đã nhắm mục tiêu vào nhiều quốc gia châu Á bằng cách sử dụng một biến thể mới của backdoor PlugX có tên là DOPLUGS.

Lỗ hổng Opera Myflaw cho phép tin tặc thực thi tệp bất kỳ trên macOS và Windows

09:00 | 13/02/2024

Các nhà nghiên cứu tới từ công ty an ninh mạng Guardio (Mỹ) tiết lộ một lỗ hổng bảo mật trong trình duyệt web Opera dành cho Microsoft Windows và Apple macOS có thể bị khai thác để thực thi tệp tùy ý trên hai hệ điều hành này.