Thứ tư, 26 Tháng chín 2007, 22:46 GMT+7

Dịch vụ Google mắc lỗi bảo mật nguy hiểm

Dich vu Google mac loi bao mat nguy hiem

Chỉ trong vòng hai ngày, đã có hàng loạt dịch vụ trực tuyến của Google bị phát hiện mắc những lỗi bảo mật cực kỳ nguy hiểm.

Theo các chuyên gia nghiên cứu bảo mật, những lỗi này hoàn toàn có thể bị tin tặc lợi dụng để "bắt cóc" PC hoặc ăn cắp dữ liệu cá nhân của người dùng. Mã khai thác một số lỗi hiện đã được tung lên mạng Internet.

Tổng cộng có 4 lỗi bảo mật được phát hiện trong đợt này. Trong đó có một lỗi cực kỳ nguy hiểm có thể bị tin tặc lợi dụng để cấy mã độc “backdoor” ăn cắp dữ liệu trực tiếp từ tài khoản Gmail. Những lỗi còn lại được xác định là lỗi XSS (cross-site scripting).

Những dịch vụ của Google được xác định là mắc lỗi gồm dịch vụ thư điện tử miễn phí Gmail, Google Groups, phần mềm quản lý ảnh số Google Picasa và phần mềm công cụ tìm kiếm dành riêng cho các nhà quản trị phát triển web.

Trong một bài viết trên trang blog chính thức của GNU Citizen, chuyên gia nghiên cứu bảo mật Petko D. Petkov cho biết tin tặc chỉ cần lừa người dùng truy cập vào một website được lập trình đặc biệt là đã có thể cài được mã độc “backdoor” theo dõi tài khoản Gmail của họ. Tuy nhiên, điều kiện cần và đủ ở đây là người dùng phải vừa đăng nhập tài khoản Gmail vừa truy cập vào website độc hại của tin tặc.

Nếu thành công, mã độc sẽ bắt đầu khởi tạo một “bộ lọc” (filter) trong Gmail nhằm truyền tải mọi tệp tin đính kèm theo email trong tài khoản về bất kỳ địa chỉ nào mà tin tặc mong muốn. Người dùng có thể phát hiện ra vụ tấn công bằng cách kiểm tra mục “Filter” trong phần Gmail Settings.

Mặc dù hiện Petkov chưa cung cấp mã minh chứng lỗi hoặc thông tin chi tiết về lỗi song theo tác giả của trang blog Zero Day, Ryan Naraine, thì anh đã được chứng kiến toàn bộ quá trình Petkov khai thác lỗi bảo mật Gmail này. “Theo tôi, đây là một lỗi bảo mật cực kỳ nguy hiểm bởi nó không cần bất kỳ sự can thiệp nào của người dùng trong việc kích hoạt mã độc và rất khó có thể phát hiện đối với một người dùng Gmail thông thường. Họ gần như không hay biết rằng email của mình đã bị đánh cắp", Naraine nhận định.

Người phát ngôn của Google cho biết các chuyên gia săn tìm lỗi của hãng đang tiến hành kiểm tra tính xác thực của lỗi bảo mật nói trên.

Lỗi bảo mật thứ hai được phát hiện lần này thuộc về ứng dụng thăm dò ý kiến tích hợp sẵn trong Google Groups. Lỗi này có thể bị lợi dụng để ăn cắp sổ liên lạc và email từ bất kỳ một tài khoản Gmail.

Rất nhiều mã khai thác cùng hình ảnh minh chứng rõ ràng hiện đã được tung lên mạng. Trong đó, có cả bức ảnh chụp toàn bộ sổ liên lạc và các email được gửi đi từ một tài khoản Gmail của chuyên gia nghiên cứu đã phát hiện ra lỗi này.

Cuối giờ chiều ngày 24-9, người phát ngôn của Google cho biết lỗi này đã được khắc phục hoàn toàn.

“Nếu là một người giỏi sử dụng Javascript, bạn có thể lợi dụng lỗi nói trên một cách rất dễ dàng", ông Giorgio Maone, một chuyên gia nghiên cứu của El Reg, cho biết. “Nguy hiểm hơn là chỉ cần một mã khai thác duy nhất bạn có thể tấn công bất kỳ tài khoản Gmail nào mà bạn muốn”.

Mã khai thác được các chuyên gia tiết lộ có thể được sử dụng để tấn công bất kỳ người dùng nào cho dù họ sử dụng trình duyệt Internet Explorer, Firefox, Opera hay Konqueror. Tuy nhiên, để có thể đạt hiệu quả trình duyệt phải không cấm Javascript và người dùng phải đang đăng nhập vào một tải khoản Gmail.

Lỗi bảo mật thứ ba thuộc về ứng dụng tìm kiếm Google Search Appliance thường được bán cho các nhà quản trị phát triển web. Đây là công cụ giúp nhà phát triển web phát triển một công cụ tìm kiếm riêng trên nền tảng công nghệ của Google. Chỉ cần tạo ra một đường liên kết URL đặc biệt, tin tặc đã có thể chèn hoặc viết đè các mã nguồn chúng muốn lên website mục tiêu. Hoặc tin tặc có thể lợi dụng lỗi này để ăn cắp cookies trình duyệt, chiếm quyền đăng nhập dịch vụ của người dùng và ăn cắp thông tin cá nhân.

Thông tin chi tiết về lỗi cùng một đường dẫn minh họa đã được cho đăng tải trên trang blog Mustlive ( http://websecurity.com.ua/1368/ ). Google cho biết tính đến thời điểm đó có khoảng 200.000 website mắc lỗi này và hoàn toàn có thể bị tấn công bất kỳ lúc nào.

Lỗi bảo mật còn lại có thể bị tin tặc lợi dụng để ăn cắp các bức ảnh số trong Google Picasa bằng cách lừa người dùng truy cập vào một website độc hại nào đó. Song đây thực sự là một lỗi bảo mật phức tạp, tương đối khó khai thác nên mức độ nguy hiểm không cao. Để khai thác lỗi này cần phải áp dụng nhiều kỹ thuật khác nhau như XSS, giả mạo yêu cầu đăng nhập qua ứng dụng, flash và URI handler.

Người phát ngôn của Google cho biết hãng đã nhận được thông tin về những lỗi bảo mật nói trên và đang tiến hành điều tra tìm giải pháp khắc phục tận gốc. Hiện hãng cũng chưa phát hiện bất kỳ một vụ tấn công người dùng nào thông qua việc lợi dụng những lỗi bảo mật mới phát hiện này.

T.DŨNG (Theo Channel Register)

Việt Báo

Nhận xét tin Dịch vụ Google mắc lỗi bảo mật nguy hiểm

Ý kiến bạn đọc

Viết phản hồi

Bạn có thể gửi nhận xét, góp ý hay liên hệ về bài viết Dịch vụ Google mắc lỗi bảo mật nguy hiểm bằng cách gửi thư điện tử tới Lien He Bao Viet Nam. Xin bao gồm tên bài viết Dich vu Google mac loi bao mat nguy hiem ở dạng tiếng Việt không dấu. Hoặc Dịch vụ Google mắc lỗi bảo mật nguy hiểm ở dạng có dấu. Bài viết trong chuyên đề Tin Tổng Hợp của chuyên mục Công Nghệ.

Google Services Security dangerous mistakes
online services, be spokesman, security, users, detecting danger, account, any, Google, Gmail, code , standalone, Website

Within two days, there were a series of Google's online services were found mistakes extremely dangerous security ..

CÓ THỂ BẠN QUAN TÂM


  • Thoi su 24h2111 Thu hoi nha dat cua ong Tran Van Truyen
    Thời sự 24h(21/11): Thu hồi nhà đất của ông Trần Văn Truyền

    Thu hồi nhà, đất của ông Trần Văn Truyền; Gói quà 20/11 phát nổ, 1 phụ nữ tử vong; VTV xin lỗi vụ phát sóng "Nhặt xương cho thầy"; Hà Hồ bật khóc, nêu lời giải cho quan hệ với Cường đô la; Từ 1/1/2015 tăng mức phạt xe quá tải... là những thông tin thời sự nổi bật trong ngày 21/11.

  • Thoi su 24h2010 2 may bay suyt dam nhau tai SG
    Thời sự 24h(20/10): 2 máy bay suýt đâm nhau tại SG

    Đổi chứng minh thư thành thẻ căn cước công dân;Hai máy bay suýt đụng nhau trên không;Thuê người giả mạo Thứ trưởng Y tế để lừa tiền tỷ; Sát hại con tin để quỵt nợ 50 triệu đồng; "100 nghìn/cô" - cuộc định giá đau xót trong ngày 20/11?... là những thông tin thời sự nổi bật trong ngày 20/11.

  • Thoi su 24h1911 Chang trai dam cuoi co tich qua doi
    Thời sự 24h(19/11): Chàng trai "đám cưới cổ tích" qua đời

    Phạt 252 triệu đồng NXB in hình Công Lý cởi trần; Chơi ngông Tàng "Keangnam": Mời ca sỹ ngoại về đãi cả bản; Nữ phượt thủ 9x tử nạn trên cung đường Hà Giang; Chàng trai trong "đám cưới cố tích" đột ngột qua đời...

  • Thoi su 24h1811 BS quen kim mo trong bung benh nhan
    Thời sự 24h(18/11): BS quên kim mổ trong bụng bệnh nhân

    Đường sắt trên cao "tuyệt đối an toàn"; Mổ đẻ, BS ‘quên’ kim trong bụng bệnh nhân 9 năm; Bé sơ sinh văng khỏi bụng mẹ ra viện; Lật mặt hàng chục cửa hàng xăng dầu lắp đặt IC giả; Mạo nhận con trai Bí thư HN "quỵt" hàng trăm triệu... là những thông tin thời sự nổi bật trong ngày 18/11.

  • Thoi su 24h1711 Cong Ly mac quan nho len bia sach luat
    Thời sự 24h(17/11): Công Lý mặc quần nhỏ lên bìa sách luật

    Bình Dương lên tiếng về cáo buộc của ông Dũng "lò vôi"; Công Lý bức xúc vì bìa sách in hình anh cởi trần; Nữ "đại gia" Hà thành bị đánh thuốc mê cướp kim cương?; "Kho" sừng tê giác trong nhà đại gia Hà Tĩnh...

  • Ban tin suc khoe tuan tu 162211
    Bản tin sức khỏe tuần (từ 16-22/11)

    Hà Tĩnh: Mổ đẻ, BS "quên" kim trong bụng bệnh nhân 9 năm; Bình Dương: Một phụ nữ chết tức tưởi sau khi chích thuốc tại phòng khám tư nhân; Trứng gà thật - giả, phân biệt thế nào?; 83% đàn ông "thả rông" trong lần quan hệ đầu tiên; Mẹo chăm sóc da cho trẻ vào mùa đông; Lý do không ngờ khiến mẹ chậm mang thai; Người hay lo lắng dễ bị mất trí nhớ; Cách giảm cân hiệu quả trong 1 tuần... là những tin sức khỏe nổi bật tuần qua.

  • Nghin le chuyen tuan qua 1611 2211
    Nghìn lẻ chuyện tuần qua (16/11 - 22/11)

    Nghị trường QH nóng chuyện chạy chức, chạy quyền; Ước vọng của Hai lúa được phong Đại tướng quân; Sách Luật in hình nghệ sỹ Công Lý: Luật pháp không phải trò hề; Làm khu nghỉ dưỡng trên núi Hải Vân: Quá nhạy cảm quốc phòng!; Phát phim phản cảm,VTV nên có lời với các thầy cô giáo ... là những tin tức nổi bật được dư luận quan tâm trong tuần qua.

  • Toan canh Showbiz tuan 1611 2211
    Toàn cảnh Showbiz tuần (16/11 – 22/11)

    Mỹ Tâm được vinh danh giải thưởng 'Huyền thoại âm nhạc', Hình nghệ sĩ Công Lý bị xuất hiện phản cảm trên bìa sách luật, Tranh cãi số lượng khán giả trong live concert Heartbeat của Mỹ Tâm,

  • Tin An ninh Phap luat tuan qua 1611 2211
    Tin An ninh - Pháp luật tuần qua (16/11 - 22/11)

    "Tội phạm axit" và câu chuyện về quản lý; Kết cục thảm của những mối tình đồng tính nữ lệch lạc; Điểm tựa hoàn lương của 9X sát hại người yêu; 14 năm tù cho cơn ghen tuông mù quáng; Vụ TMV Cát Tường: Tội danh của bị cáo Tường và Khánh sẽ thay đổi?; Cảnh giác với chiêu lừa đảo tinh vi qua điện thoại;.......là những tin đáng chú ý trong tuần.

  • Tin Bong daThe thao noi bat tuan qua 16112211
    Tin Bóng đá-Thể thao nổi bật tuần qua (16/11-22/11)

    Tổng hợp diễn biến vụ nghi ngờ Công Phượng gian lận tuổi; Tổng hợp thông tin trước thềm AFF Cup của ĐT Việt Nam và các đội bóng cùng bảng; Tổng hợp các trận cầu hay cuối tuần... là những tin tức sẽ có trong bản tin Bóng đá cuối tuần của Việt Báo.