Lỗ hổng SOME nguy hiểm ảnh hưởng Google+ và nhiều trang web khác

Một nhà nghiên cứu đã phát hiện ra một phương pháp tấn công mới có khả năng gây ảnh hưởng đến rất nhiều trang web hàng đầu thế giới. Google+ được xác nhận dễ dàng tổn thương trước kiểu tấn công đó và đã được vá một vài ngày trước.

Nhà nghiên cứu của công ty Trustware ông Ben Hayak đã trình bày phương pháp tấn công này với cái tên Origin Method Execution (SOME) tại hội nghị bảo mật Back Hat Europe diễn ra tại Amsterdam, Hà Lan. Hayak đã chứng minh trong trường hợp với Google+ rằng lỗ hổng có thể khiến tin tặc dễ dàng truy cập vào hình ảnh và video của người dùng. Tất cả những gì tin tặc cần là khiến nạn nhân nhấn vào một đường link mã độc và tất cả tệp tin sẽ được gửi đến chúng.

Theo Hayak, cuộc tấn công SOME trên Google+ giống với vụ rò rỉ dữ liệu gần đây của iCloud với việc phát tán ảnh nóng của người nổi tiếng lên Internet. Trong một kịch bản tấn công được mô tả bởi Hayak, nạn nhân có một số hình ảnh  trong điện thoại của mình, và tất cả những file này được tự động sao lưu thông qua “Auto Backup” của Google. Tin tặc có thể sử dụng SOME để chọn tất cả những hình ảnh từ Google+ của bạn nhân và chuyển chúng đến máy chủ đơn giản bằng cách khiến nạn nhân bấm vào một đường link.

Lỗ hổng này liên quan đến JavaScript Object Notation và việc thực thi lớp đệm (JSONP) cho phép tin tặc thực hiện những hành động trên danh nghĩa của nạn nhân. Cuộc tấn công làm việc mà không cần tương tác với người dùng nếu những quảng cáo độc hại được sử dụng như một phương thức tấn công. Same Origin Policy (SOP)  là một cơ chế bảo mật được sử dụng để ngăn chặn những trang web không liên quan tương tác lẫn nhau. Tuy nhiên, có những tình huống một trang web cần phải vượt qua SOP và kết nối với một dịch vụ bên thứ ba. Ví dụ một trang web cần xác định vị trí của du khách cần phải sử dụng dịch vụ định vị địa lí như Telize. Trong trường hợp này, các nhà phát triển web có thể sử dụng JSONP, một cơ chế kết nối cho phép trang web yêu cầu dữ liệu từ máy chủ khác tên miền nhờ các trình duyệt và không thực thi SOP trong thẻ <script>.

JSONP có thể rất hữu dụng nhưng nó có thể làm cho trang web dễ bị tổn thương nếu không được thực thi chính xác. JSONP sử dụng một hàm callback để lấy dữ liệu từ dịch vụ bên thứ ba. Hayak  phát hiện ra rằng bằng cách điều chỉnh thông số callback, ông có thể thực thi các phương pháp tùy ý trong trang web bị ảnh hưởng. Khi nạn nhân click vào đường link chứa mã độc, một của sổ mới sẽ hiện ra với các phương thức tấn công khác nhau. Mọi thứ xảy ra rất nhanh trước khi người dùng nhận ra điều gì đó không đúng. Nhằm tránh việc gây ra những nghi ngờ, tin tặc có thể mở một trang web hợp pháp sau khi hoàn thành cuộc tấn công.

Theo Hayak, tin tặc có thể thực thi nhiều phương pháp tấn công cần thiết. Ví dụ với Google+, tin tặc đã tiến hành theo hai bước. Bước thứ nhất, chọn hình ảnh trong tài khoản nạn nhân và bước thứ hai là lấy chúng về. Một khía cạnh đáng lo ngại là nếu một tên miền bị tổn thương thì tất cả các trang trên tên miền đó đều bị ảnh hưởng. Cuộc tấn công đã được thử nghiệm thành công trên Google+. Báo cáo nghiên cứu chi tiết về tấn công SOME sẽ được đăng tải sớm trong tháng sau và nó sẽ chứa tên những dịch vụ bị ảnh hưởng. Một vài trang web tài chính cũng đã được xác định bị ảnh hưởng. Lỗ hổng này đã được báo cáo cho Google hơn 4 tháng trước và Google mới chỉ vá nó một vài ngày trước khi Hayak công khai lỗ hổng. Google đã thưởng cho ông $3,133.7.

Bảo vệ trang web trước các cuộc tấn công SOME.

Theo Hayak cho biết, các cuộc tấn công SOME không thể ngăn chặn bởi các hình thức phòng tránh kiểu tấn công cross-site reference forgery (CSRF) vì tin tặc sử dụng một giả lập giao diện người dùng. Các bộ lọc Cross-site scripting (XSS) cũng không có tác dụng bởi vì tin tặc chỉ cần sử dụng bảng chữ cái thông thường và dấu chấm để thực hiện tấn công. Frame busting, một phương pháp phổ biến  chống lại clickjacking cũng không hiệu quả. Hayak cũng tìm ra cách qua mặt được các trình chặn quảng cáo. Có ba cách để bảo vệ trang web đang sử dụng JSONP. Một là sử dụng một hàm callback tĩnh. Cách khác được sử dụng bởi Google là tạo ra danh sách trắng callback trên máy chủ. Cách thứ ba là ghi lại các callback.

Securityweek