Trình duyệt của Yahoo! “dính” lỗi bảo mật sau 1 ngày ra mắt
Yahoo! đã khiến không ít người phải ngạc nhiên khi bất ngờ tung ra trình duyệt web của riêng mình, mang tên Axis vào ngày hôm qua. Tuy nhiên, dường như Yahoo! đã quá nóng vội trong quyết định của mình khi lỗi bảo mật nghiêm trọng đã sớm bị phát hiện trong Axis.
Axis là trình duyệt web được Yahoo! tung ra dưới dạng ứng dụng dành cho nền tảng iOS (cả iPhone lẫn iPad), đồng thời hoạt động dưới dạng add-on dành cho các trình duyệt trên máy tính cá nhân (Firefox, Safari, Chrome và Internet Explorer).
Tuy nhiên, theo phát hiện của một doanh nhân kiêm hacker Nik Cubrilovic thì add-on Axis trên trình duyệt web Google Chrome của Google ẩn chứa một lỗ hổng bảo mật nghiêm trọng.
Sau khi download và cài đặt add-on Axis cho Google Chrome với mục đích kiểm tra mã nguồn, Cubrilovic đã phát hiện ra rằng giấy phép xác nhận mà Axis sử dụng để xác thực với Google, về cơ bản là đoạn mã dùng để Chrome kiểm tra xem add-on cài đặt có an toàn hay không, có thể dễ dàng bị truy cập bởi bất kỳ ai.
Video đang HOT
Yahoo! sẽ phải tốn không ít công sức để lấy lại lòng tin ở người dùng với Axis sau lỗi bảo mật nghiêm trọng vừa bị phát hiện
Điều này có nghĩa là nếu một hacker muốn tạo ra một phần mềm độc hại để lây nhiễm vào Chrome, họ có thể sử dụng quyền xác nhận này của Axis để làm cho phần mềm độc hại dường như trở nên an toàn, nhằm qua mắt trình duyệt Chrome.
Một khi đã nhìn thấy quyền xác nhận, Chrome sẽ nghĩ rằng phần mềm độc hại này đã được phê duyệt bởi Yahoo! và cho phép cài đặt.
Cubrilovic cho biết ông đã thử nghiệm lỗ hổng bảo mật này bằng cách tạo ra một bản sao của add-on Axis trên Chrome, sử dụng chính giấy phép xác nhận trên add-on Axis, sau đó cài đặt add-on giả mạo vào trình duyệt Chrome. Quá trình này diễn ra hoàn hảo khi Chrome tưởng nhầm rằng đó là add-on của Yahoo.
Theo Cubrilovic, nếu hacker sử dụng giấy phép xác nhận này của Axis, về mặt lý thuyết tin tặc có thể tạo ra các phần mềm độc hại để có thể nắm bắt tất cả các trang web mà người dùng truy cập trên trình duyệt Chrome, bao gồm cả mật khẩu đăng nhập và cookies.
Ngay sau khi có thông tin về lỗ hổng bảo mật nguy hiểm này, phát ngôn viên của Yahoo cho biết: “Chúng tôi đã nhận được báo cáo về lỗ hổng bảo mật của Axis trên Chrome. Chúng tôi sẽ làm việc nhanh chóng để khắc phục vấn đề này và ra mắt add-on mới trên Chrome. Người dùng đã cài đặt Yahoo Axis trên Chrome trong khoản thời gian từ 6 – 9 giờ sáng (theo giờ Việt Nam) từ ngày 23/5 hãy gỡ bỏ add-on cũ và cài đặt phiên bản mới”.
Hãng bảo mật Sophos sau đó cũng đã xác nhận rằng Yahoo đã thay thế add-on Axis trên trình duyệt Chrome sang phiên bản mới. Tuy nhiên, điều đáng quan ngại là liệu Google đã hủy bỏ giấy phép cũ được sử dụng bởi add-on Axis cũ hay chưa. Nếu chưa, hacker vẫn có thể loại dụng giấy phép này để tạo ra các add-on giả mạo và xâm nhập vào trình duyệt Chrome.
Sophos cũng đưa ra lời khuyên người dùng chưa nên sử dụng Axis vào thời điểm này và chờ một thời gian nữa cho add-on này thực sự hoàn thiện.
Lỗ hổng bảo mật vừa được phát hiện được xem là một “cú vấp” khá nặng dành cho Yahoo!, khi hãng đang nỗ lực lấy lại hình ảnh và uy tín của mình. Tuy nhiên, với việc mắc phải lỗi bảo mật nghiêm trọng chỉ sau một ngày được ra mắt, Yahoo! sẽ lại phải tốn rất nhiều công sức để lấy lại lòng tin ở người sử dụng.
Theo Dân Trí
Dropbox và Facebook cho di động 'dính' lỗi bảo mật
Lỗ hổng an ninh cho phép chuyển và đọc các file lưu thông tin cá nhân vừa được phát hiện ở 2 ứng dụng trên, cả với Android và iOS.
Ảnh minh họa.
Gareth Wright, nhà phát triển ứng dụng cho Android và iOS, vừa phát hiện ra một lỗ hổng an ninh trên ứng dụng Facebook cho điện thoại có thể lợi dụng để đánh cắp thông tin người dùng.
Facebook trên Android và iOS không mã hóa thông tin đăng nhập, thay vào đó lưu trữ lại trong một file text đơn thuần, và cho phép can thiệp, cũng như chuyển đổi file này qua kết nối USB hay qua ứng dụng độc hại dễ dàng. Wright giải thích trên trang blog rằng file lưu các dữ liệu cá nhân không hề bảo mật và có hạn khả dụng lên tới... 2.000 năm. Một khi file này bị sao chép sang thiết bị khác, kẻ gian có thể đăng nhập vào tài khoản của nạn nhân.
Lỗ hổng trên được trang TheNextWeb xác nhận, cùng với đó là lỗ hổng tương tự trên ứng dụng Dropbox dành cho iOS. Thiết bị không cần phải jailbreak hay root, việc xem thông tin có thể thực hiện đơn giảm thông qua ứng dụng mở file.
Đáp lại thông tin trên, Dropbox cho hay ứng dụng dành cho Android không bị ảnh hưởng, bởi thông tin lưu trữ trong token và được bảo vệ đầy đủ. Hãng cũng cho biết đang tiến hành cập nhật ứng dụng dành cho iOS sang cách hoạt động tương tự. Dropbox cảnh báo người dùng nên quản lý tốt thiết bị của mình, tránh trường hợp đáng tiếc xảy ra.
Theo Số Hóa
Rò rỉ mã nguồn, người dùng Windows gặp nguy Chi tiết về một lỗ hổng nghiêm trọng, vốn chỉ được chia sẻ với những đối tác thuộc MAPP của Microsoft vừa bị công khai trên một trang web từ Trung Quốc. Mức độ nguy hiểm rất cao. Ảnh minh họa: Internet Cụ thể, một đoạn mã được xếp loại "proof-of-concept" ( tạm dịch: mã khai thác trục lợi từ lỗi bảo mật)...