Lỗ hổng bảo mật nguy hiểm trên trình duyệt web phổ biến trên điện thoại

www.tuoitre.vn -   02/11/2020 10:00:00 1952

Trình duyệt web phổ biến trên điện thoại di động được tìm thấy chứa lỗ hổng bảo mật cho phép kẻ tấn công thực hiện các tấn công giả mạo trang web có nhiều lượt truy cập ngay trên thanh địa chỉ.

Trình duyệt web phổ biến trên điện thoại di động được tìm thấy chứa lỗ hổng bảo mật cho phép kẻ tấn công thực hiện các tấn công giả mạo trang web có nhiều lượt truy cập ngay trên thanh địa chỉ.

Các chuyê gia bảo mật đã đưa ra các thông tin chi tiết về một lỗ hổng bảo mật nghiêm trọng ngay trên thanh địa chỉ ảnh hưởng trực tiếp đến nhiều trình duyệt web trên điện thoại di động, như là Apple Safari và Opera Touch, mở một cánh cổng để kẻ tấn công có thể thực hiện các cuộc tấn công bằng hình thức giả mạo và lây lan các mã độc.

Những trình duyệt khác bị ảnh hưởng còn có UCWeb, Yandex Browser, Bolt Browser, và RITS Browser.

Những lỗ hổng này được phát hiện bởi nhà nghiên cứu bảo mật Rafay Baloch vào mùa hè năm 2020 và đã báo cáo bởi Baloch và công ty an ninh mạng Rapid7 vào tháng 8 trước khi chúng được đề cập đến bởi các nhà phát triển trình duyệt web vài tuần trước.

UCWeb và Bolt Browser vẫn chưa được vá lỗi, trong khi đó Opera Mini được kỳ vọng sẽ nhận được bản vá lỗi vào ngày 11/11/2020.

Vấn đề bắt nguồn từ việc sử dụng mã JavaScript thực thi độc hại trong một trang web tùy ý để buộc trình duyệt cập nhật thanh địa chỉ trong khi trang vẫn đang tải đến một địa chỉ khác do kẻ tấn công lựa chọn.

Lỗ hổng bảo mật xảy ra do Safari lưu trữ thanh địa chỉ URL khi được yêu cầu qua một cổng tùy ý hàm đặt khoảng thời gian tải lại bing.com:8080 sau mỗi 2 mili giây và do đó người dùng không thể nhận ra chuyển hướng từ URL ban đầu sang URL giả mạo, "Rafay Baloch nói trong phân tích kỹ thuật.

"Điều gì làm cho lỗ hổng này hiệu quả hơn trong Safari theo mặc định không tiết lộ số cổng trong URL trừ khi và cho đến khi tiêu điểm được đặt thông qua con trỏ."

Đặt khác nhau; kẻ tấn công có thể thiết lập một trang web độc hại và dụ mục tiêu mở liên kết từ email hoặc tin nhắn văn bản giả mạo, do đó khiến người nhận không nghi ngờ tải xuống phần mềm độc hại hoặc có nguy cơ bị đánh cắp thông tin đăng nhập của họ.

Nghiên cứu cũng cho thấy phiên bản macOS của Safari cũng dễ bị dính lỗi tương tự, theo Rapid7 đã được giải quyết trong bản cập nhật macOS Big Sur được phát hành vào tuần trước.

Đây không phải là lần đầu tiên lỗ hổng như vậy được phát hiện trong Safari. Trở lại năm 2018, Baloch đã tiết lộ một loại lỗ hổng giả mạo thanh địa chỉ tương tự khiến trình duyệt bảo toàn thanh địa chỉ và tải nội dung từ trang giả mạo thông qua một thời gian trễ do JavaScript gây ra.

Baloch cho biết: “Với sự gia tăng ngày càng tinh vi của các cuộc tấn công lừa đảo trực tuyến, việc khai thác các lỗ hổng dựa trên trình duyệt như giả mạo thanh địa chỉ có thể làm trầm trọng thêm sự thành công của các cuộc tấn công lừa đảo trực tuyến và do đó được chứng minh là rất nguy hiểm”, Baloch nói.

"Đầu tiên và quan trọng nhất, có thể dễ dàng thuyết phục nạn nhân đánh cắp thông tin đăng nhập hoặc phân phối phần mềm độc hại khi thanh địa chỉ trỏ đến một trang web đáng tin cậy và không đưa ra dấu hiệu giả mạo, thứ hai vì lỗ hổng khai thác một tính năng cụ thể trong trình duyệt, nó có thể trốn tránh một số phản -các kế hoạch và giải pháp kinh doanh. "

Hương – Theo The Hacker News

TIN CÙNG CHUYÊN MỤC

Liệu công cụ kiểm tra nội dung AI có đán...

03/10/2024 12:00:00 50
Trên thực tế, công cụ kiểm tra nội dung AI không phải lúc nào cũng đáng tin cậy và các ví dụ sau đây...

Công cụ AI tạo sinh được bổ sung thêm tr...

02/10/2024 12:00:00 57
Với bản nâng cấp cho Microsoft Paint, người dùng rất háo hức muốn xem chất lượng hình ảnh mọi người ...

Máy tính liên tục khởi động lại vì bản c...

01/10/2024 12:00:00 53
Máy tính gặp sự cố sẽ xuất hiện lỗi màu xanh lam hoặc xanh lục, đôi khi xuất hiện công cụ Windows Au...

Lỗ hổng ChatGPT macOS có thể kích hoạt p...

30/09/2024 08:00:00 81
Một lỗ hổng bảo mật hiện đã được vá trong ứng dụng ChatGPT của OpenAI dành cho macOS có thể khiến kẻ...

Phát hiện lỗi lạ gây ra hiệu suất thiếu ...

30/09/2024 12:00:00 57
Trong thời gian sớm nhất, bản cập nhật mới sẽ được phát hành ra công chúng.

Mozilla đối mặt với ​​khiếu nại về quyền...

27/09/2024 08:00:00 83
Tổ chức phi lợi nhuận về quyền riêng tư noyb (viết tắt của None Of Your Business) có trụ sở tại Vien...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ