iGoogle trở thành "nguồn cơn" cho luồng chỉ trích mới về hệ thống bảo mật của Google. Ảnh chụp màn hình.

Những tay hacker có thể “lừa” người dùng khi thay đổi cài đặt trên trang dịch vụ iGoogle, từ đó kiểm soát hoạt động trên máy tính nạn nhân.

“Khi khai thác lỗi này, người dùng có thể bị ép phải tải xuống những đoạn web khiêu dâm hoặc những tài liệu độc hại khác”, Robert Hansen, Giám đốc điều hành hãng bảo mật SecTheory, nói. “Mức độ khai thác lỗi này chưa xác định được giới hạn. Google phải sửa lỗi này”.

Dịch vụ iGoogle cho phép người dùng tùy biến trang chủ của mình bằng những tiện ích mini gọi là gadget để sắp xếp lịch làm việc, đọc tin tức, v.v… Hacker có thể lập trình lại cho những gadget tự do (proferred gadget) hoặc đột nhập hệ thống của chính những gadget đó.

“Điều đó khuyến khích nhiều người sáng tạo những gadget kiểu này và hoàn toàn không có lợi cho công tác an ninh mạng”, Hansen nói.

Chia sẻ quan điểm tại Hội nghị DefCon, một hội thảo thường niên nổi tiếng của cộng đồng hacker, nhà phân tích Tom Stracener đến từ Cenzic khẳng định trong báo cáo nghiên cứu của mình: “Chúng tôi có thể đột nhập vào được hầu hết những gì chúng tôi muốn”.

Hackers có thể dùng “bẫy” lừa người dùng truy cập đến những website tùy thích bằng cách ép họ cài đặt ứng dụng của iGoogle. Sau đó, kẻ thủ ác có thể kiểm soát toàn bộ những máy nạn nhân khi truy cập vào trang iGoogle. Người dùng Gmail cũng phải đối mặt với lỗ hổng bảo mật có dạng RSnake trước đây.

“Chúng tôi đã nhiều lần cảnh báo Google về khả năng bị tấn công nhưng họ hầu như không có động thái nào sửa chữa”, Hansen nói. “Thậm chí, ngày càng họ càng để lộ nhiều lỗ hổng trong dịch vụ của mình. Người dùng là đối tượng đầu tiên chịu rủi ro khi những lỗ hổng đó bị khai thác”.

Trước động thái này, Google tuyên bố họ đã kiểm tra toàn bộ các gadget trên trang của mình. Việc phát hiện thấy mã độc trong đó là rất hiếm và cũng đã được loại bỏ nếu có.

(Theo Vietnamnet/AFP)



Bình luận

  • TTCN (0)