Công ty bảo mật CloudSEK vừa công bố nghiên cứu về một dạng phần mềm độc hại sử dụng cookie để truy cập trái phép dữ liệu riêng tư của người dùng.
Các nhà nghiên cứu bảo mật đã phát hiện ra một vụ hack cho phép tội phạm truy cập vào tài khoản Google của mọi người mà không cần mật khẩu.
Phân tích từ công ty bảo mật CloudSEK cho thấy, một dạng phần mềm độc hại nguy hiểm sử dụng cookie của bên thứ ba để truy cập trái phép vào dữ liệu riêng tư của mọi người và hiện đang được các nhóm hack tích cực thử nghiệm.
Việc khai thác lần đầu tiên được tiết lộ vào tháng 10 năm 2023 khi một hacker đăng bài về cách hack trên một kênh trên nền tảng nhắn tin Telegram.
Bài đăng lưu ý cách các tài khoản có thể bị xâm phạm thông qua lỗ hổng bảo mật với cookie, được các trang web và trình duyệt sử dụng để theo dõi người dùng cũng như tăng hiệu quả và khả năng sử dụng của chúng.
Các trang web và trình duyệt thường dùng cookie nhằm ghi nhớ hành vi của người dùng, từ đó cải thiện trải nghiệm Internet.
Cookie xác thực của Google cho phép người dùng truy cập tài khoản của họ mà không cần phải nhập thông tin đăng nhập liên tục, tuy nhiên tin tặc đã tìm ra cách truy xuất các cookie này để bỏ qua xác thực hai yếu tố.
Có nhiều loại cookie khác nhau, trong đó cookie xác thực của Google hỗ trợ người dùng truy cập tài khoản mà không phải đăng nhập liên tục.
Sau khi đảo ngược các đoạn mã và phân tích, chuyên gia của CloudSEK đánh giá đây là hình thức khai thác tinh vi. Để làm được điều này, tin tặc không chỉ đào sâu về bảo mật mà còn hiểu rõ về cơ chế xác thực của Google.
“Đáng báo động, việc khai thác lỗ hổng họat động hiệu quả ngay khi người dùng vừa đặt lại mật khẩu. Nạn nhân có thể bị theo dõi trong thời gian dài, ít bị phát hiện”, CloudSEK nhấn mạnh về độ nghiêm trọng của lỗ hổng.
Theo các chuyên gia, hình thức tấn công mới cho thấy tin tặc ngày càng tinh vi, có xu hướng ẩn mình, tìm kiếm những phương pháp mang tính hiệu quả lâu dài, khó bị phát hiện hơn.
Trình duyệt web Google Chrome, trình duyệt phổ biến nhất thế giới với thị phần lớn hơn 60% vào năm ngoái, hiện đang trong quá trình ngăn chặn cookie của bên thứ ba.
“Chúng tôi thường xuyên nâng cấp các biện pháp phòng vệ của mình để bảo vệ những người dùng trở thành nạn nhân của phần mềm độc hại. Trong trường hợp này, Google đã thực hiện hành động để bảo mật mọi tài khoản bị xâm phạm được phát hiện”, Google cho biết trong một tuyên bố.
“Người dùng nên liên tục thực hiện xóa bất kỳ phần mềm độc hại nào khỏi máy tính và nên bật Duyệt web an toàn nâng cao trong Chrome để bảo vệ khỏi hành vi lừa đảo và tải xuống phần mềm độc hại.”
“Việc khai thác này cho phép truy cập liên tục vào các dịch vụ của Google, ngay cả sau khi mật khẩu của người dùng được đặt lại”, Pavan Karthick M, nhà nghiên cứu tình báo về mối đe dọa tại CloudSEK, đã viết trong một bài đăng trên blog nêu chi tiết về vấn đề.
Theo CloudSEK, trong lúc chờ giải pháp đầy đủ từ Google, người dùng nên đăng xuất tất cả tài khoản, hồ sơ hiện có trên trình duyệt nếu nghi ngờ bị tấn công.
Sau đó đổi mật khẩu và đăng nhập lại. Việc này không đảm bảo an toàn tuyệt đối trước hình thức tấn công mới nhưng cũng tạo ra rào cản đáng kể với tin tặc khi muốn đăng nhập trái phép tài khoản người dùng.
Các nhóm hacker đang liên tục đào sâu phương pháp này trong khi Googke chưa đưa ra biện pháp khắc phục triệt để.