Cảnh báo trình duyệt web Safari có thể cho phép hacker giả mạo URL

Một chuyên gia bảo mật đã phát hiện ra một lỗ hổng nghiêm trong trên trình duyệt web Microsoft Edge của Windows và Apple Safari của iOS cho phép hacker tấn công giả mạo URL để lừa đảo nạn nhân.

Trong khi Microsoft đã vá lỗ hổng này vào tháng trước trong một bản cập nhật bảo mật định kỳ hàng tháng, thì Safari vẫn chưa được vá lỗi, dẫn đến nguy cơ người dùng Apple dễ bị tổn thương bởi các hình thức tấn công giả mạo URL.

Các cuộc tấn công với hình thức giả mạo để lừa đảo người dùng đang ngày càng phát triển với cấp số nhân và mức độ tinh vi ngày càng nâng cao, rất khó phân biệt và cực kỳ nguy hiểm. Lỗ hổng mới này có thể góp phần cho các cuộc tấn công này thêm phần nguy hiểm bởi có thể bỏ qua các hàng rào cơ bản như URL và SSL là một trong những điều đầu tiên mà người dùng sử dụng để kiểm tra xem liệu đây có phải là một trang web giả mạo hay không.

 Lỗ hỗng này được phát hiện bởi một nhà nghiên cứu bảo mật Pakistan tên Rafay Baloch, lỗ hổng CVE-2018-8383 dựa trên một vấn đề đánh máy có điều kiện gây ra bởi trình duyệt web, cho phép JavaScript cập nhật địa chỉ trang web trên thanh địa chỉ URL khi trang được mở.

Khai thác thành công lỗ hổng này sẽ cho phép kẻ tấn công chủ động mở một trang web hợp pháp, điều này sẽ làm cho địa chỉ trang được hiển thị trên thanh URL và nhanh chóng thay thế mã trong trang web bằng một mã độc.

Khi URL hiển thị trên thanh địa chỉ không thay đổi, cuộc tấn công giả mạo này rất khó bị phát hiện ngay cả khi người dùng có am hiểu về bảo mật nhiều đi chăng nữa.

Sử dụng lổ hổng này, kẻ tấn công có thể giả mạo bất kì trang web nào bao gồm Gmail, Facebook, Twitter, thậm chí là các trang web ngân hàng và tạo các trang đăng nhập giả mạo hay các form điền thông tin khác để đánh cắp thông tin cá nhân cũng như nhiều thông tin quan trọng khác của nạn nhân.

Baloch còn tạo một trang web minh chứng cho lỗ hỗng này và cho thấy cả trình duyệt Microsoft Edge và Apple Safari đều “cho phép Javascript cập nhật thanh địa chỉ khi trang web đang mở”

Theo Baloch thì cả Google Chrome và Mozilla Firefox thì không hề bị ảnh hưởng bởi lỗ hổng này.

Trong khi Microsoft đã nhanh chóng vá lỗi này vào tháng trước thì Baloch vẫn chưa nhận được phản hồi gì từ Apple từ khi anh báo cáo lỗi này từ tháng Sáu.

Minh Hương