Thứ tư, 26 Tháng chín 2007, 22:46 GMT+7

Dịch vụ Google mắc lỗi bảo mật nguy hiểm

Dich vu Google mac loi bao mat nguy hiem

Chỉ trong vòng hai ngày, đã có hàng loạt dịch vụ trực tuyến của Google bị phát hiện mắc những lỗi bảo mật cực kỳ nguy hiểm.

Theo các chuyên gia nghiên cứu bảo mật, những lỗi này hoàn toàn có thể bị tin tặc lợi dụng để "bắt cóc" PC hoặc ăn cắp dữ liệu cá nhân của người dùng. Mã khai thác một số lỗi hiện đã được tung lên mạng Internet.

Tổng cộng có 4 lỗi bảo mật được phát hiện trong đợt này. Trong đó có một lỗi cực kỳ nguy hiểm có thể bị tin tặc lợi dụng để cấy mã độc “backdoor” ăn cắp dữ liệu trực tiếp từ tài khoản Gmail. Những lỗi còn lại được xác định là lỗi XSS (cross-site scripting).

Những dịch vụ của Google được xác định là mắc lỗi gồm dịch vụ thư điện tử miễn phí Gmail, Google Groups, phần mềm quản lý ảnh số Google Picasa và phần mềm công cụ tìm kiếm dành riêng cho các nhà quản trị phát triển web.

Trong một bài viết trên trang blog chính thức của GNU Citizen, chuyên gia nghiên cứu bảo mật Petko D. Petkov cho biết tin tặc chỉ cần lừa người dùng truy cập vào một website được lập trình đặc biệt là đã có thể cài được mã độc “backdoor” theo dõi tài khoản Gmail của họ. Tuy nhiên, điều kiện cần và đủ ở đây là người dùng phải vừa đăng nhập tài khoản Gmail vừa truy cập vào website độc hại của tin tặc.

Nếu thành công, mã độc sẽ bắt đầu khởi tạo một “bộ lọc” (filter) trong Gmail nhằm truyền tải mọi tệp tin đính kèm theo email trong tài khoản về bất kỳ địa chỉ nào mà tin tặc mong muốn. Người dùng có thể phát hiện ra vụ tấn công bằng cách kiểm tra mục “Filter” trong phần Gmail Settings.

Mặc dù hiện Petkov chưa cung cấp mã minh chứng lỗi hoặc thông tin chi tiết về lỗi song theo tác giả của trang blog Zero Day, Ryan Naraine, thì anh đã được chứng kiến toàn bộ quá trình Petkov khai thác lỗi bảo mật Gmail này. “Theo tôi, đây là một lỗi bảo mật cực kỳ nguy hiểm bởi nó không cần bất kỳ sự can thiệp nào của người dùng trong việc kích hoạt mã độc và rất khó có thể phát hiện đối với một người dùng Gmail thông thường. Họ gần như không hay biết rằng email của mình đã bị đánh cắp", Naraine nhận định.

Người phát ngôn của Google cho biết các chuyên gia săn tìm lỗi của hãng đang tiến hành kiểm tra tính xác thực của lỗi bảo mật nói trên.

Lỗi bảo mật thứ hai được phát hiện lần này thuộc về ứng dụng thăm dò ý kiến tích hợp sẵn trong Google Groups. Lỗi này có thể bị lợi dụng để ăn cắp sổ liên lạc và email từ bất kỳ một tài khoản Gmail.

Rất nhiều mã khai thác cùng hình ảnh minh chứng rõ ràng hiện đã được tung lên mạng. Trong đó, có cả bức ảnh chụp toàn bộ sổ liên lạc và các email được gửi đi từ một tài khoản Gmail của chuyên gia nghiên cứu đã phát hiện ra lỗi này.

Cuối giờ chiều ngày 24-9, người phát ngôn của Google cho biết lỗi này đã được khắc phục hoàn toàn.

“Nếu là một người giỏi sử dụng Javascript, bạn có thể lợi dụng lỗi nói trên một cách rất dễ dàng", ông Giorgio Maone, một chuyên gia nghiên cứu của El Reg, cho biết. “Nguy hiểm hơn là chỉ cần một mã khai thác duy nhất bạn có thể tấn công bất kỳ tài khoản Gmail nào mà bạn muốn”.

Mã khai thác được các chuyên gia tiết lộ có thể được sử dụng để tấn công bất kỳ người dùng nào cho dù họ sử dụng trình duyệt Internet Explorer, Firefox, Opera hay Konqueror. Tuy nhiên, để có thể đạt hiệu quả trình duyệt phải không cấm Javascript và người dùng phải đang đăng nhập vào một tải khoản Gmail.

Lỗi bảo mật thứ ba thuộc về ứng dụng tìm kiếm Google Search Appliance thường được bán cho các nhà quản trị phát triển web. Đây là công cụ giúp nhà phát triển web phát triển một công cụ tìm kiếm riêng trên nền tảng công nghệ của Google. Chỉ cần tạo ra một đường liên kết URL đặc biệt, tin tặc đã có thể chèn hoặc viết đè các mã nguồn chúng muốn lên website mục tiêu. Hoặc tin tặc có thể lợi dụng lỗi này để ăn cắp cookies trình duyệt, chiếm quyền đăng nhập dịch vụ của người dùng và ăn cắp thông tin cá nhân.

Thông tin chi tiết về lỗi cùng một đường dẫn minh họa đã được cho đăng tải trên trang blog Mustlive ( http://websecurity.com.ua/1368/ ). Google cho biết tính đến thời điểm đó có khoảng 200.000 website mắc lỗi này và hoàn toàn có thể bị tấn công bất kỳ lúc nào.

Lỗi bảo mật còn lại có thể bị tin tặc lợi dụng để ăn cắp các bức ảnh số trong Google Picasa bằng cách lừa người dùng truy cập vào một website độc hại nào đó. Song đây thực sự là một lỗi bảo mật phức tạp, tương đối khó khai thác nên mức độ nguy hiểm không cao. Để khai thác lỗi này cần phải áp dụng nhiều kỹ thuật khác nhau như XSS, giả mạo yêu cầu đăng nhập qua ứng dụng, flash và URI handler.

Người phát ngôn của Google cho biết hãng đã nhận được thông tin về những lỗi bảo mật nói trên và đang tiến hành điều tra tìm giải pháp khắc phục tận gốc. Hiện hãng cũng chưa phát hiện bất kỳ một vụ tấn công người dùng nào thông qua việc lợi dụng những lỗi bảo mật mới phát hiện này.

T.DŨNG (Theo Channel Register)

Việt Báo

Nhận xét tin Dịch vụ Google mắc lỗi bảo mật nguy hiểm

Ý kiến bạn đọc

Viết phản hồi

Bạn có thể gửi nhận xét, góp ý hay liên hệ về bài viết Dịch vụ Google mắc lỗi bảo mật nguy hiểm bằng cách gửi thư điện tử tới Lien He Bao Viet Nam. Xin bao gồm tên bài viết Dich vu Google mac loi bao mat nguy hiem ở dạng tiếng Việt không dấu. Hoặc Dịch vụ Google mắc lỗi bảo mật nguy hiểm ở dạng có dấu. Bài viết trong chuyên đề Tin Tổng Hợp của chuyên mục Công Nghệ.

Google Services Security dangerous mistakes
online services, be spokesman, security, users, detecting danger, account, any, Google, Gmail, code , standalone, Website

Within two days, there were a series of Google's online services were found mistakes extremely dangerous security ..

CÓ THỂ BẠN QUAN TÂM


  • Thoi su 24h1810 No kinh hoang tai TPHCM
    Thời sự 24h(18/10): Nổ kinh hoàng tại TP.HCM

    Vì sao BS Tường không bị truy tố tội "Giết người"?; Nữ PGĐ Sở nói gì về vụ ẩu đả tại khách sạn; Trộm đột nhập siêu thị đã qua mặt bảo vệ thế nào; Thiếu nữ lớp 9 bị cố tình đánh chết để bịt đầu mối...

  • Thoi su 24h1710 Mr Dam lai vung tien choi troi
    Thời sự 24h(17/10): Mr Đàm lại vung tiền chơi trội

    Sự cố sập hàng loạt website: Nghi vấn bị phá hoại; Xuất hiện xe đặc chủng 13 tỷ chuyên ‘bắt’ xe quá tải; Mr.Đàm lại vung tiền chơi trội; Bộ CA điều tra vụ tàu Sunrise 689 bị cướp biển; Cảnh khó tin tại đường trên cao Hà Nội; 

  • Thoi su 24h1610 HN sap phat nguoi thong qua camera
    Thời sự 24h(16/10): HN sắp "phạt nguội" thông qua camera

    Bệnh viện lớn nhất TPHCM lên tiếng vụ đấu thầu thuốc; Phá đường dây mại dâm trăm đô, chỉ tiếp khách Tây; Hà Nội sắp "phạt nguội" thông qua 450 camera; Giết cha ở Vĩnh Long mang xác lên Sài Gòn phi tang;

  • Thoi su 24h1510 Bat pho chanh thanh tra GTVT
    Thời sự 24h(15/10): Bắt phó chánh thanh tra GTVT

    Chấn động làng quê vụ nữ sinh giết cán bộ huyện; Jennifer Phạm sẽ là thảm họa của Cặp đôi hoàn hảo 2014?; Cá quả Tàu tiêm thuốc mê đổ về chợ; Truy sát từ nhà đến bệnh viện vì can thiệp đụng độ trên đường

  • Thoi su 24h1410 Su co hy huu tren duong sat VN
    Thời sự 24h(14/10): Sự cố hy hữu trên đường sắt VN

    Xử lý xe quá tải "giết" đường: Không có vùng cấm!; Sự cố hy hữu trên đường sắt Việt Nam; Tài xế trong clip "ngược chiều khó tin" ở HN trình diện; Truy sát kinh hoàng từ nhà đến bệnh viện;Việt Nam sắp nhận máy bay hiện đại nhất thế giới; Công an cử người canh rắn "khủng" cực độc... là những thông tin thời sự nổi bật trong ngày 13/10.

  • Ban tin suc khoe tuan 121810
    Bản tin sức khỏe tuần (12-18/10)

    Nguy cơ dịch Ebola vào Việt Nam là rất cao; Tâm sự của một bác sĩ: "Ở Việt Nam có nhiều Nina Phạm thầm lặng"; Sốc với công nghệ “thổi phồng” gà còi thành béo căng; 5 cách đơn giản tính chính xác tuổi thai; 3 dấu hiệu thần kinh vô cùng nguy hiểm ở trẻ nhỏ;Học lỏm bí quyết giảm cân an toàn kiệu quả kiểu Hàn Quốc; Sử dụng máy tính bảng gây hại đến xương và vai; Lý do tình dục mùa thu viên mãn nhất trong năm; Chữa mồ hôi tay, chân triệt để nhờ lá lốt...là những tin sức khỏe nổi bật tuần qua.

  • Nghin le chuyen tuan qua 1210 1810
    Nghìn lẻ chuyện tuần qua (12/10 - 18/10)

    Nổ lớn tại TP.HCM: Hóa chất nồng nặc, mảnh thi thể vương vãi; Hộp đen tàu Sunrise 689 biến mất, Bộ Công an vào cuộc; Hà Nội phạt nguội vi phạm giao thông bằng camera: Khó khả thi; Xe điên đâm liên tiếp trên đường Phạm Hùng; Rắn độc tràn về làng tấn công người dân ở Nghệ An ... là những tin tức nổi bật được dư luận quan tâm trong tuần qua.

  • Toan canh Showbiz tuan 1210 1810
    Toàn cảnh Showbiz tuần (12/10 – 18/10)

    Nghi án Khánh My làm "đào" quán karaoke, Elly Trần thừa nhận có con, Việt Hương và dàn sao Việt bị đối xử tệ bạc ở Nhật, Hương Tràm 'đá đểu' Robbey, Hà Anh bị cấm diễn 3 tháng, Nhóm F Band dùng khăn Piêu của người Thái làm khổ trong X-Factor, Xuân Lan vướng nghi vấn sinh con với đàn ông đã có vợ, Yanbi bị dân mạng "ném đá" vì miệt thị người đồng tính, Siêu mẫu Võ Hoàng Yến bị tố làm gãy tay đồng nghiệp, Moon Geun Young có bầu dù đã chia tay Kim Bum, Chae Rim hạnh phúc trong ngày lên xe hoa lần 2 là những thông tin giải trí nổi bật trong tuần qua.

  • Tin An ninh Phap luat tuan qua 1210 1810
    Tin An ninh - Pháp luật tuần qua (12/10 - 18/10)

    Nữ sinh lớp 12 giết cán bộ huyện trong nhà nghỉ; Bàng hoàng những vụ "ngáo đá" lên cơn giết người; Nữ sinh giết con rồi đốt xác để giấu chuyện mang thai; Diễn biến mới vụ TMV Cát Tường ném xác nạn nhân xuống sông; Đến tòa ly hôn, vợ đâm chết chồng trước sân tòa án; Ly cà phê cuối cùng của tử tù đầu tiên bị tiêm thuốc độc;.......là những tin đáng chú ý trong tuần.

  • The gioi noi bat tuan qua tu 12101810
    Thế giới nổi bật tuần qua (từ 12/10-18/10)

    Căng thẳng Trung - Hàn sau vụ ngư dân Trung Quốc bị bắn chết; Sự xuất hiện của lãnh đạo Kim Jong-un với hình ảnh chống gậy; Biểu tình tại Hồng Kông vẫn căng thẳng; Thế giới tiếp tục cuộc chiến chống dịch bệnh Ebola; ... là những tin tức nổi bật trong tuần qua.