Hàng loạt trình duyệt di động có lỗ hổng tiếp tay cho hacker lừa đảo người dùng

Kyr Doo-Hyun

Các nhà nghiên cứu bảo mật vừa tiết lộ về một lỗ hổng giả mạo thanh địa chỉ ảnh hưởng tới nhiều trình duyệt di động phổ biến. Lỗ hổng này cho phép hacker thực hiện các cuộc tấn công lừa đảo trực tuyến hoặc phát tán mã độc.

Các trình duyệt bị ảnh hưởng gồm Apple Safari, Opera Touch, UCWeb, Yandex Browser, Bolt Browser và RITS Browser.

Nhà nghiên cứu bảo mật Rafay Baloch đã phát hiện ra các lỗ hổng này trong khoảng thời gian mùa hè 2020. Hồi tháng 8, Baloch cùng với hãng an ninh mạng Rapid7 đã đồng loạt báo cáo các lỗ hổng này cho những công ty cung cấp trình duyệt và một số hãng đã tiến hành vá lỗi.

Hiện tại UCWeb và Bolt Browser vẫn chưa vá lỗi trong khi Opera Mini dự kiến sẽ được cập nhật vào ngày 11/11/2020.

Vấn đề bắt nguồn từ việc hacker có thể sử dụng một mã JavaScript độc hại trên trang web tùy ý để buộc trình duyệt cập nhật thanh địa chỉ trong khi trang vẫn tải tới một địa chỉ khác mà hacker lựa chọn. Người dùng sẽ không thể nhận ra họ đang bị chuyển hướng từ URL gốc sang URL giả mạo bởi thanh địa chỉ vẫn hiển thị URL gốc trong khi nội dung trang lại chuyển hướng sang URL giả mạo.

Lỗ hổng này cho phép hacker dụ dỗ người dùng mở các đường link độc hại. Qua đó, chúng có thể đánh cắp thông tin đăng nhập, phát tán mã độc...

Như thường lệ, các chuyên gia bảo mật khuyên người dùng nên cập nhật phiên bản mới nhất của các trình duyệt di động. Bên cạnh đó, người dùng nên cảnh giác với các email được gửi tới từ các nguồn không xác định. Người dùng không nên nhấp vào các đường link lạ và nếu nghi ngờ thì tốt nhất là nên thử nghiệm link trong máy ảo trước.