Trang đăng nhập của Google có chứa lỗ hổng đe dọa tài khoản người dùng?

Theo Neowin, Woods cho biết đã phát hiện ra trang đăng nhập tài khoản Google cho phép một ứng dụng hoặc dịch vụ có thể chuyển hướng đến một trang khác ngay sau khi người dùng đăng nhập. Ông lập luận rằng, thông qua cách thức này tin tặc có thể lừa người dùng nhấp chuột vào một liên kết mà ở đó Google trỏ đến một tập tin độc hại.

Cũng theo ông Woods, Google Drive hoặc Google Docs vẫn có thể bị tin tặc khai thác lỗ hổng để ăn cắp tài khoản người dùng. Cụ thể, trang đăng nhập của Google chấp nhận một tham chiếu có tên “continue”. Theo ông Woods, tham chiếu này sẽ trải qua một hoạt động kiểm tra cơ bản, đó là tái điều hướng người dùng tới bất kì URL nào nếu nó bắt đầu bằng google.com. Vấn đề là, các ứng dụng không xác định loại hình dịch vụ của Google, có nghĩa tin tặc có thể chèn thêm bất kì dịch vụ vào cuối quá trình đăng nhập.

Hơn nữa, Woods nói rằng nó có thể chuyển hướng để mởhttps://www.google.com/amp/tên_miền_tùy_ý, cũng như một tập tin tùy ý. Từ đây tin tặc có thể tái điều hướng ai đó tới một trang giả mạo Google để thu thập các thông tin cá nhân, hoặc khiến họ tự động tải về một tệp tin độc hại đã được đăng tải lên Google Drive. Tin tặc cũng có thể tái điều hướng người dùng tới một trang web do chúng kiểm soát, nhưng được thiết kế trông giống hệt màn hình đăng nhập của Google kèm thông báo “Mật khẩu không đúng, đề nghị thử lại” để lừa người dùng cung cấp mật khẩu của họ.

Điều đáng nói là, sau khi Woods cung cấp các thông tin về lỗ hổng, Google đã đưa ra quyết định không làm gì, thậm chí công ty không xem nó như là một lỗi bảo mật. Google nói: “Những báo cáo đầu tiên về lỗ hổng an ninh có ảnh hưởng đáng kể đến tính bảo mật và tính toàn vẹn dữ liệu người dùng. Công ty không cảm thấy vấn đề của Woods cần phải được giải quyết”.

Google cũng nói thêm rằng, trang chuyển hướng được đặt ở phía sau “google.com” nên sẽ không có tác động nguy hiểm nào. Bên cạnh đó, công ty cũng bảo vệ người dùng trước sự giả mạo và các nguy cơ mất an toàn bằng vô số biện pháp bảo mật như Safe Browsing, hai yếu tố xác thực…

Nhưng tốt nhất mọi người nên cẩn thận với những nơi họ truy cập vào trên internet, đặc biệt nếu như nó yêu cầu thông tin đăng nhập. Các cuộc tấn công lừa đảo ở khắp mọi nơi trên internet, và cách tốt nhất là phải cảnh giác về những gì chúng ta truy cập vào mạng.

Theo Thanh Niên.




Bình luận

  • TTCN (0)