13/09/2018, 17:17

Cảnh báo lỗ hổng bảo mật trên Safari, người dùng Apple cẩn trọng

Đêm qua (theo giờ Việt Nam) cả thế giới vừa háo hức đón chờ những “siêu phẩm” iPhone mới từ Apple, thì sáng nay một chuyên gia bảo mật đã phát hiện ra một lỗ hổng nghiêm trọng có thể cho phép hacker giả mạo địa chỉ trang web trong trình duyệt Microsoft Edge trên Windows và ...

Đêm qua (theo giờ Việt Nam) cả thế giới vừa háo hức đón chờ những “siêu phẩm” iPhone mới từ Apple, thì sáng nay một chuyên gia bảo mật đã phát hiện ra một lỗ hổng nghiêm trọng có thể cho phép hacker giả mạo địa chỉ trang web trong trình duyệt Microsoft Edge trên Windows và Apple Safari trên iOS.

Trong khi Microsoft đã khắc phục lỗ hổng giả mạo URL của address bar trong tháng trước với bản cập nhật bảo mật hàng tháng, Safari thì vẫn chưa được vá và có khả năng khiến người dùng Apple dễ bị tấn công bởi những kẻ lừa đảo.

Các cuộc tấn công lừa đảo ngày nay phức tạp và ngày càng khó phát hiện hơn, và lỗ hổng mới được phát hiện này có thể vượt qua các chỉ báo như URL và SSL, vốn là những điều đầu tiên người dùng kiểm tra để xác định xem trang web có phải là giả mạo hay không.

Được phát hiện bởi chuyên gia nghiên cứu bảo mật Rafay Baloch ở Pakistan, lỗ hổng (CVE-2018-8383) là do một lỗi condition type gây ra bởi web browser cho phép JavaScript cập nhật địa chỉ trang trong thanh URL trong khi trang đang tải.

Dưới đây là cách hoạt động của URL giả mạo

Khai thác lỗ hổng này sẽ cho phép hacker bắt đầu tải một trang hợp pháp, điều này sẽ làm cho địa chỉ trang được hiển thị trong thanh URL và sau đó nhanh chóng thay thế code trong trang web bằng mã độc.

Vì URL được hiển thị trong thanh địa chỉ không thay đổi nên cuộc tấn công lừa đảo sẽ rất khó bị phát hiện với ngay cả người dùng cẩn thận.

Như vậy, kẻ tấn công có thể mạo danh bất kỳ trang web nào, bao gồm Gmail, Facebook, Twitter hoặc thậm chí là các trang web ngân hàng và tạo màn hình đăng nhập giả hoặc các hình thức khác để lấy cắp thông tin và dữ liệu từ người dùng.

Minh chứng bằng video

Theo Baloch, cả trình duyệt web Google Chrome và Mozilla Firefox đều không bị ảnh hưởng bởi lỗ hổng này.

Trong khi Microsoft đã khắc phục vấn đề này vào tháng trước với bản cập nhật Patch tháng 8 năm 2018, Baloch vẫn chưa nhận được phản hồi từ Apple về lỗ hổng mà anh đã báo cáo cho công ty vào ngày 2 tháng 6.

Techtalk via thehackernews

0