Google sửa lỗi mất cắp dữ liệu Gmail

Google vừa phải khắc phục một lỗi bảo mật mới trong dịch vụ thư điện tử miễn phí Gmail. Lỗi này có thể bị tin tặc lợi dụng để ăn cắp sổ địa chỉ liên lạc của người dùng.

Nhà cung cấp dịch vụ cho biết đây là một lỗi tấn công liên trang (XSS - Cross-site scripting).

Nguyên nhân phát sinh lỗi này là do Gmail thường lưu trữ sổ liên lạc của người dùng vào một tệp tin JavaScript mà tệp tin script đó lại có chung đường dẫn với thư mục chủ Gmail.

Chính vì thế mà bất kỳ một đường liên kết nào có dính dáng đến đường liên kết thư mục chủ đều có thể đọc được nội dung tệp tin JavaScript đó. Trong khi đó, Gmail lại không thể kiểm tra và ngăn chặn các trang web gọi tệp tin script đó ra.

Hậu quả là khi người dùng đăng nhập vào Gmail hoặc bất kỳ một dịch vụ nào khác của Google có chung phương thức đăng nhập như Gmail đều có thể phải đối mặt với nguy cơ bị mất sổ địa chỉ liên lạc. Thủ đoạn của tin tặc là lừa người dùng truy cập vào một trang web độc hại nào đó.

Các chuyên gia lập trình của Google đã bị lên án vì đã không hề để tâm đến việc đã cho phép lưu trữ dữ liệu nhạy cảm của người dùng trên một tệp tin JavaScript với đường dẫn hoàn toàn có thể nội suy ra được từ thư mục chủ dịch vụ.


Hoàng Dũng