Những nhà nghiên cứu bảo mật vừa mới liệt kê 3 cách mới mà theo đó hacker có thể lấy đi dữ liệu của bạn đồng thời vô hiệu hóa phần mềm bảo mật bạn đang sử dụng, khi sử dụng Google để gửi email, tổ chức ảnh hay hỗ trợ trong việc quản lý website. Cả 3 cách này đều dựa trên kỹ thuật XSS - kỹ thuật cho phép hacker chèn các đoạn mã script nguy hiểm vào các website động.

Hôm qua, phát ngôn viên của Google cho biết họ đã sửa lỗi nguy hiểm có thể bị khai thác nằm trong các ứng dụng về thăm dò ý kiến của Google Groups. Theo đó những lỗi này khi bị khai thác nó có thể dễ dàng lấy đi danh sách liên lạc và tin nhắn của các tài khoản Gmail.

Đã có nhiều bằng chứng bằng hình ảnh về những đoạn code minh họa khả năng tấn công nhằm vào những điểm yếu này. Danh sách liên lạc trong tài khoản Gmail dễ dàng bị lấy đi, những tin nhắn gửi tới một tài khoản Gmail dễ dàng bị chuyển qua một tài khoản email khác do kẻ tấn công chỉ định.

"Nếu bạn giỏi về JavaScript, thì việc viết một đoạn code nhằm khai thác những lỗi này không có gì khó khăn cả." Giorgo Maone một nghiên cứu viên cho biết thêm lỗ hổng có thể bị khai thác thành một chuỗi dài có nghĩa là chỉ với một đoạn code đơn bạn có thể tấn công bất kì một tài khoản Gmail nào.

Đoạn mã khai thác có thể làm việc trên ít nhất là bốn trình duyệt vốn đang rất phổ biến hiện này đó là IE, Firefox, Opera, và Konqueror nếu như các trình duyệt này được thiết lập ở các chế độ mặc định và không hề chạy một add on nào có nhiệm vụ ngăn các đoạn javascript.

Lỗi thứ 2 nằm trên công cụ tìm kiếm Google, webmaster sử dụng để chèn vào trang web nhằm giúp đỡ người lướt web tìm kiếm nội dung trong trang web bằng Google. Bằng việc lợi dụng các mánh khóe trong URL, kẻ tấn công có thể chèn các đoạn mã độc hại lên các trang web có sử dụng công cụ tìm kiếm này.

Kịch bản tấn công rất đơn giản, hacker sẽ ăn cắp cookie được sử dụng để đăng nhập vào trang web thật hay thay đổi nội dung của trang web thật để nhắc người dùng điền các thông tin cá nhân vào đó rồi gửi lại thông tin đó cho hacker.

Lỗi thứ 3 có thể lấy đi các bức ảnh được chỉ định ở trong Picasa của Google bằng cách lừa cho người dùng tới một website đã bị đầu độc. Công cụ khai thác lỗi này khá là phức tạp, cần tới nhiều các kĩ thuật khác nhau bao gồm có XSS, giả mạo ứng dụng request, khai thác điểm yếu của Flash và URI.

Phát ngôn viên của Google cũng cho biết công ty gần đây cũng bắt đầu nhận thấy lỗi trong công cụ tìm kiếm và sẽ cho biết chi tiết hơn về việc sửa chữa khi sự việc được điều tra kĩ hơn. Như việc Google hướng dẫn người dùng cách cài đặt các nút nhấn mới trong ứng dụng trên Picasa để lỗi này khó có thể bị khai thác được.

Nhóm bảo mật của Google thường được đánh giá rất cao trong công việc bảo mật các trang web và người tiêu dùng. Thế nhưng, rất nhiều lỗi mới phát hiện gần đây như một lời cảnh báo cho các nhà phát triển cần phải tăng tính bảo mật tôt hơn nữa.

Yahoo! và TJMaxx gần đây cũng đã bị dính các lỗi XSS.

Bùi Bình (theo The Register)



Bình luận

  • TTCN (0)