Phát hiện lỗ hổng bảo mật bản sao của Heartbleed

Theo CNET, một lỗ hổng bảo mật mang tên Covert Redirect (tạm dịch: bí mật chuyển hướng) vừa được phát hiện và thông tin mới nhất cho thấy lỗ hổng này tương tự như lỗ hổng bảo mật Heartbleed xuất hiện cách đây không lâu và hiện đang ảnh hưởng đến cả Google, Facebook, Microsoft, LinkedIn, PayPal và một số công ty lớn khác.

Phát hiện lỗ hổng bảo mật bản sao của Heartbleed mang tên Covert Redirect

Nghiên cứu sinh tên Wang Jing học tại trường Đại Học Công Nghệ Nanyang (Singapore) đã phát hiện ra lỗ hổng này tồn tại trong phần mềm trong công cụ đăng nhập mã nguồn mở OAuth và OpenID đang được rất nhiều website sử dụng.

Thông qua lỗ hổng Covert Redirect, hacker có thể cài mã độc ẩn dưới dạng cửa sổ pop-up, hiện ra khi người dùng đăng nhập vào một website vướng lỗi. Chẳng hạn như khi người dùng gõ địa chỉ Facebook, một cửa sổ pop-up hiện ra yêu cầu điền tên đăng nhập và mật khẩu. Nếu người dùng nhập thông tin vào thì những thông tin ấy sẽ "bí mật chuyển hướng" đến tin tặc.

Thông thường, kẻ tấn công hay sử dụng một đường dẫn (link) website giả mạo để lừa người dùng truy cập vào. Nhưng với lỗ hổng Covert Redirect, tin tặc có thể dùng chính địa chỉ website thật để moi thông tin mà không cần phải tạo ra một đường link giả mạo.

Wang Jing cho biết anh đã liên hệ với Facebook để thông báo về lỗ hổng nói trên, và câu trả lời mà anh nhận được là: "Chúng tôi đã nhận thức được nguy cơ tồn tại trong OAuth 2.0. Việc chữa lỗi này không thể thực hiện trong một sớm một chiều". Nghĩa là mạng xã hội này đã phát hiện ra lỗ hông từ trước và đang tìm cách giải quyết.

Danh sách các webite tồn tại lỗ hổng

Facebook không phải là website duy nhất bị ảnh hưởng. Wang cũng đã liên hệ với Google, LinkedIn và Microsoft để nghe câu trả lời. Google, vốn đang sử dụng phần mềm OpenID, đã thông báo với anh rằng lỗ hổng này đang được họ xem xét. Còn Microsoft cho biết hãng này đang tiến hành điều tra về các điểm yếu trong hệ thống, tuy nhiên lỗ hổng nói trên nằm trong máy chủ tên miền của bên thứ ba, không phải trên website của Microsoft.

PayPal cũng nằm trong danh sách mà Wang đưa ra. Trong một thông cáo đăng trên blog, hãng này cho biết: "Khi sử dụng OAuth 2.0/OpenID, chúng tôi đã thiết kế các biện pháp bảo mật bổ sung. Những biện pháp này giúp chúng tôi bảo vệ khách hàng trước các lỗ hổng tiềm tàng". Tuy nhiên, PayPal từ chối tiết lộ cụ thể về các biện pháp bảo mật mà hãng này áp dụng.

Theo Wang Jing, để tránh nguy cơ bị mất thông tin, người dùng nên cảnh giác khi truy cập vào một website mà hiện ra cửa sổ pop-up yêu cầu đăng nhập Facebook hoặc Google. Người dùng nên đóng cửa sổ này ngay lập tức để tránh nguy cơ thông tin cá nhân bị bí mật chuyển hướng sang các trang web độc hại.

Xuân Dung