Thứ tư, 26 Tháng chín 2007, 22:46 GMT+7

Dịch vụ Google mắc lỗi bảo mật nguy hiểm

Dich vu Google mac loi bao mat nguy hiem

Chỉ trong vòng hai ngày, đã có hàng loạt dịch vụ trực tuyến của Google bị phát hiện mắc những lỗi bảo mật cực kỳ nguy hiểm.

Theo các chuyên gia nghiên cứu bảo mật, những lỗi này hoàn toàn có thể bị tin tặc lợi dụng để "bắt cóc" PC hoặc ăn cắp dữ liệu cá nhân của người dùng. Mã khai thác một số lỗi hiện đã được tung lên mạng Internet.

Tổng cộng có 4 lỗi bảo mật được phát hiện trong đợt này. Trong đó có một lỗi cực kỳ nguy hiểm có thể bị tin tặc lợi dụng để cấy mã độc “backdoor” ăn cắp dữ liệu trực tiếp từ tài khoản Gmail. Những lỗi còn lại được xác định là lỗi XSS (cross-site scripting).

Những dịch vụ của Google được xác định là mắc lỗi gồm dịch vụ thư điện tử miễn phí Gmail, Google Groups, phần mềm quản lý ảnh số Google Picasa và phần mềm công cụ tìm kiếm dành riêng cho các nhà quản trị phát triển web.

Trong một bài viết trên trang blog chính thức của GNU Citizen, chuyên gia nghiên cứu bảo mật Petko D. Petkov cho biết tin tặc chỉ cần lừa người dùng truy cập vào một website được lập trình đặc biệt là đã có thể cài được mã độc “backdoor” theo dõi tài khoản Gmail của họ. Tuy nhiên, điều kiện cần và đủ ở đây là người dùng phải vừa đăng nhập tài khoản Gmail vừa truy cập vào website độc hại của tin tặc.

Nếu thành công, mã độc sẽ bắt đầu khởi tạo một “bộ lọc” (filter) trong Gmail nhằm truyền tải mọi tệp tin đính kèm theo email trong tài khoản về bất kỳ địa chỉ nào mà tin tặc mong muốn. Người dùng có thể phát hiện ra vụ tấn công bằng cách kiểm tra mục “Filter” trong phần Gmail Settings.

Mặc dù hiện Petkov chưa cung cấp mã minh chứng lỗi hoặc thông tin chi tiết về lỗi song theo tác giả của trang blog Zero Day, Ryan Naraine, thì anh đã được chứng kiến toàn bộ quá trình Petkov khai thác lỗi bảo mật Gmail này. “Theo tôi, đây là một lỗi bảo mật cực kỳ nguy hiểm bởi nó không cần bất kỳ sự can thiệp nào của người dùng trong việc kích hoạt mã độc và rất khó có thể phát hiện đối với một người dùng Gmail thông thường. Họ gần như không hay biết rằng email của mình đã bị đánh cắp", Naraine nhận định.

Người phát ngôn của Google cho biết các chuyên gia săn tìm lỗi của hãng đang tiến hành kiểm tra tính xác thực của lỗi bảo mật nói trên.

Lỗi bảo mật thứ hai được phát hiện lần này thuộc về ứng dụng thăm dò ý kiến tích hợp sẵn trong Google Groups. Lỗi này có thể bị lợi dụng để ăn cắp sổ liên lạc và email từ bất kỳ một tài khoản Gmail.

Rất nhiều mã khai thác cùng hình ảnh minh chứng rõ ràng hiện đã được tung lên mạng. Trong đó, có cả bức ảnh chụp toàn bộ sổ liên lạc và các email được gửi đi từ một tài khoản Gmail của chuyên gia nghiên cứu đã phát hiện ra lỗi này.

Cuối giờ chiều ngày 24-9, người phát ngôn của Google cho biết lỗi này đã được khắc phục hoàn toàn.

“Nếu là một người giỏi sử dụng Javascript, bạn có thể lợi dụng lỗi nói trên một cách rất dễ dàng", ông Giorgio Maone, một chuyên gia nghiên cứu của El Reg, cho biết. “Nguy hiểm hơn là chỉ cần một mã khai thác duy nhất bạn có thể tấn công bất kỳ tài khoản Gmail nào mà bạn muốn”.

Mã khai thác được các chuyên gia tiết lộ có thể được sử dụng để tấn công bất kỳ người dùng nào cho dù họ sử dụng trình duyệt Internet Explorer, Firefox, Opera hay Konqueror. Tuy nhiên, để có thể đạt hiệu quả trình duyệt phải không cấm Javascript và người dùng phải đang đăng nhập vào một tải khoản Gmail.

Lỗi bảo mật thứ ba thuộc về ứng dụng tìm kiếm Google Search Appliance thường được bán cho các nhà quản trị phát triển web. Đây là công cụ giúp nhà phát triển web phát triển một công cụ tìm kiếm riêng trên nền tảng công nghệ của Google. Chỉ cần tạo ra một đường liên kết URL đặc biệt, tin tặc đã có thể chèn hoặc viết đè các mã nguồn chúng muốn lên website mục tiêu. Hoặc tin tặc có thể lợi dụng lỗi này để ăn cắp cookies trình duyệt, chiếm quyền đăng nhập dịch vụ của người dùng và ăn cắp thông tin cá nhân.

Thông tin chi tiết về lỗi cùng một đường dẫn minh họa đã được cho đăng tải trên trang blog Mustlive ( http://websecurity.com.ua/1368/ ). Google cho biết tính đến thời điểm đó có khoảng 200.000 website mắc lỗi này và hoàn toàn có thể bị tấn công bất kỳ lúc nào.

Lỗi bảo mật còn lại có thể bị tin tặc lợi dụng để ăn cắp các bức ảnh số trong Google Picasa bằng cách lừa người dùng truy cập vào một website độc hại nào đó. Song đây thực sự là một lỗi bảo mật phức tạp, tương đối khó khai thác nên mức độ nguy hiểm không cao. Để khai thác lỗi này cần phải áp dụng nhiều kỹ thuật khác nhau như XSS, giả mạo yêu cầu đăng nhập qua ứng dụng, flash và URI handler.

Người phát ngôn của Google cho biết hãng đã nhận được thông tin về những lỗi bảo mật nói trên và đang tiến hành điều tra tìm giải pháp khắc phục tận gốc. Hiện hãng cũng chưa phát hiện bất kỳ một vụ tấn công người dùng nào thông qua việc lợi dụng những lỗi bảo mật mới phát hiện này.

T.DŨNG (Theo Channel Register)

Việt Báo

TIN Công Nghệ NỔI BẬT

Nhiều ứng dụng trên iPhone bị lạm dụng tự gọi điện thoại không có cảnh báo

Thông thường, nếu bạn gõ trực tiếp số điện thoại vào trong khung chat và gửi đi, người nhận nếu bấm vào đó sẽ thấy xuất hiện một bảng thông báo hỏi có muốn thực hiện cuộc gọi hay không. Đây là tính năng cảnh báo cuộc gọi đã có sẵn trong hệ điều hành iOS nhưng đáng buồn là hầu hết các ứng dụng đều không chú ý tới nó, anh Andrei cho biết.

Nhận xét tin Dịch vụ Google mắc lỗi bảo mật nguy hiểm

Ý kiến bạn đọc

Viết phản hồi

Bạn có thể gửi nhận xét, góp ý hay liên hệ về bài viết Dịch vụ Google mắc lỗi bảo mật nguy hiểm bằng cách gửi thư điện tử tới Lien He Bao Viet Nam. Xin bao gồm tên bài viết Dich vu Google mac loi bao mat nguy hiem ở dạng tiếng Việt không dấu. Hoặc Dịch vụ Google mắc lỗi bảo mật nguy hiểm ở dạng có dấu. Bài viết trong chuyên đề Tin Tổng Hợp của chuyên mục Công Nghệ.

Google Services Security dangerous mistakes
online services, be spokesman, security, users, detecting danger, account, any, Google, Gmail, code , standalone, Website

Within two days, there were a series of Google's online services were found mistakes extremely dangerous security ..

CÓ THỂ BẠN QUAN TÂM




  • Su kien quoc te noi bat tu nay 178 den 238
    Sự kiện quốc tế nổi bật (từ này 17-8 đến 23-8)

    Bạo loạn ở Lybia, Iraq, miền Đông Ukcraine; cái chết bi thương của nhà báo Mỹ quả cảm James Foley; lễ đón long trọng và đầy xúc động thi thể 20 nạn nhân trên chiếc máy bay xấu số MH 17 của Malaysia ... là những tin tức đáng chú ý trong tuần qua.

  • Tin An ninh Phap luat tuan qua 1708 2308
    Tin An ninh – Pháp luật tuần qua (17/08 – 23/08)

    Đôi nam nữ chết trong ô tô ở Bình Dương; Hoãn phiên toà xét xử vợ nguyên bí thư xã đốt xác; Vì sao trùm xã hội đen Minh 'sâm' còn nguy hiểm hơn cả Năm Cam?;

  • Tong hop Doi song tuan qua 178 248
    Tổng hợp Đời sống tuần qua (17/8 - 24/8)

    Người đàn ông 3 lần 'nhặt vợ', 4 lần bán con; Người đàn ông 10 năm chăm vợ điên tình là những câu chuyện gia đình cảm động; Tâm sự của những ông bố bà mẹ nuôi con đơn thân; Cần chuẩn bị những gì khi con vào lớp 1?; Rất nhiều mẹo vặt hay cho gia đình bạn; Một tuần nóng với tin kem đánh răng chứa chất gây ung thư; Và nhiều tin tức thực phẩm bẩn đáng lưu ý...

  • Toan canh Showbiz tuan 1708 2308
    Toàn cảnh Showbiz tuần (17/08 – 23/08)

    Sao Việt và sao thế giới hưởng ứng phong trào Ice Burken Challenger, 2 nhạc sĩ Phú Quang và Phó Đức Phương tranh cãi tiền tác quyền, Nhạc sĩ Quốc Trung viết thư “dằn mặt” người yêu của con gái, Phi Thanh Vân công khai chuyện có bầu với "tình trẻ", con trai ruột của Thành Long bị bắt vì ma túy,...

  • Nghin le chuyen tuan qua 1708 2308
    Nghìn lẻ chuyện tuần qua (17/08 - 23/08)

    Trung Quốc bành trướng Biển Đông vì tư duy mình là trùm thiên hạ; Kết luận thanh tra toàn diện chùa Bồ Đề; Phó giáo sư “ra giá” 200 triệu đồng lấy bằng tiến sĩ y khoa; Lương thấp, vào công chức vẫn như "miền đất hứa".... là những tin tức nổi bật được dư luận quan tâm trong tuần qua (17/08 - 23/08).