Lỗ hổng bảo mật nguy hiểm trên trình duyệt web phổ biến trên điện thoại

www.tuoitre.vn -   02/11/2020 10:00:00 609

Trình duyệt web phổ biến trên điện thoại di động được tìm thấy chứa lỗ hổng bảo mật cho phép kẻ tấn công thực hiện các tấn công giả mạo trang web có nhiều lượt truy cập ngay trên thanh địa chỉ.

Trình duyệt web phổ biến trên điện thoại di động được tìm thấy chứa lỗ hổng bảo mật cho phép kẻ tấn công thực hiện các tấn công giả mạo trang web có nhiều lượt truy cập ngay trên thanh địa chỉ.

Các chuyê gia bảo mật đã đưa ra các thông tin chi tiết về một lỗ hổng bảo mật nghiêm trọng ngay trên thanh địa chỉ ảnh hưởng trực tiếp đến nhiều trình duyệt web trên điện thoại di động, như là Apple Safari và Opera Touch, mở một cánh cổng để kẻ tấn công có thể thực hiện các cuộc tấn công bằng hình thức giả mạo và lây lan các mã độc.

Những trình duyệt khác bị ảnh hưởng còn có UCWeb, Yandex Browser, Bolt Browser, và RITS Browser.

Những lỗ hổng này được phát hiện bởi nhà nghiên cứu bảo mật Rafay Baloch vào mùa hè năm 2020 và đã báo cáo bởi Baloch và công ty an ninh mạng Rapid7 vào tháng 8 trước khi chúng được đề cập đến bởi các nhà phát triển trình duyệt web vài tuần trước.

UCWeb và Bolt Browser vẫn chưa được vá lỗi, trong khi đó Opera Mini được kỳ vọng sẽ nhận được bản vá lỗi vào ngày 11/11/2020.

Vấn đề bắt nguồn từ việc sử dụng mã JavaScript thực thi độc hại trong một trang web tùy ý để buộc trình duyệt cập nhật thanh địa chỉ trong khi trang vẫn đang tải đến một địa chỉ khác do kẻ tấn công lựa chọn.

Lỗ hổng bảo mật xảy ra do Safari lưu trữ thanh địa chỉ URL khi được yêu cầu qua một cổng tùy ý hàm đặt khoảng thời gian tải lại bing.com:8080 sau mỗi 2 mili giây và do đó người dùng không thể nhận ra chuyển hướng từ URL ban đầu sang URL giả mạo, "Rafay Baloch nói trong phân tích kỹ thuật.

"Điều gì làm cho lỗ hổng này hiệu quả hơn trong Safari theo mặc định không tiết lộ số cổng trong URL trừ khi và cho đến khi tiêu điểm được đặt thông qua con trỏ."

Đặt khác nhau; kẻ tấn công có thể thiết lập một trang web độc hại và dụ mục tiêu mở liên kết từ email hoặc tin nhắn văn bản giả mạo, do đó khiến người nhận không nghi ngờ tải xuống phần mềm độc hại hoặc có nguy cơ bị đánh cắp thông tin đăng nhập của họ.

Nghiên cứu cũng cho thấy phiên bản macOS của Safari cũng dễ bị dính lỗi tương tự, theo Rapid7 đã được giải quyết trong bản cập nhật macOS Big Sur được phát hành vào tuần trước.

Đây không phải là lần đầu tiên lỗ hổng như vậy được phát hiện trong Safari. Trở lại năm 2018, Baloch đã tiết lộ một loại lỗ hổng giả mạo thanh địa chỉ tương tự khiến trình duyệt bảo toàn thanh địa chỉ và tải nội dung từ trang giả mạo thông qua một thời gian trễ do JavaScript gây ra.

Baloch cho biết: “Với sự gia tăng ngày càng tinh vi của các cuộc tấn công lừa đảo trực tuyến, việc khai thác các lỗ hổng dựa trên trình duyệt như giả mạo thanh địa chỉ có thể làm trầm trọng thêm sự thành công của các cuộc tấn công lừa đảo trực tuyến và do đó được chứng minh là rất nguy hiểm”, Baloch nói.

"Đầu tiên và quan trọng nhất, có thể dễ dàng thuyết phục nạn nhân đánh cắp thông tin đăng nhập hoặc phân phối phần mềm độc hại khi thanh địa chỉ trỏ đến một trang web đáng tin cậy và không đưa ra dấu hiệu giả mạo, thứ hai vì lỗ hổng khai thác một tính năng cụ thể trong trình duyệt, nó có thể trốn tránh một số phản -các kế hoạch và giải pháp kinh doanh. "

Hương – Theo The Hacker News

TIN CÙNG CHUYÊN MỤC

Apple phát hành bản vá khẩn cấp cho lỗ h...

27/07/2021 02:00:00 23
Hôm thứ Hai, Apple đã tung ra một bản cập nhật bảo mật khẩn cấp cho iOS, iPadOS và macOS để giải quy...

Kaspersky: Ngành tài chính cần cải thiện...

26/07/2021 11:30:00 117
Khi số lượng các cuộc giao dịch tài chính trực tuyến đã và đang gia tăng trong suốt thời gian đại dị...

Lỗi bảo mật 16 tuổi ảnh hưởng đến hàng t...

22/07/2021 08:00:00 68
Đã xuất hiện chi tiết về một lỗ hổng bảo mật nghiêm trọng cao ảnh hưởng đến trình điều khiển phần mề...

Phần mềm độc hại mới này tự ẩn mình tron...

21/07/2021 08:00:00 103
Các nhà nghiên cứu an ninh mạng hôm thứ Ba đã lật tẩy một chủng phần mềm độc hại có tên là "MosaicLo...

Instagram ra mắt 'Kiểm tra bảo mật' để g...

19/07/2021 08:00:00 46
Đầu tuần này, Instagram đã giới thiệu một tính năng "Kiểm tra bảo mật" mới nhằm mục đích giữ an toàn...

Google đưa tin về lỗ hổng bảo mật Zero-D...

16/07/2021 08:00:00 255
Các nhà nghiên cứu tình báo về mối đe dọa từ Google hôm thứ Tư đã làm sáng tỏ hơn về 4 lỗ hổng Zero-...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ