Lỗi spoofing của các trình duyệt trên nền Android

Sau khi phát hiện ra các lỗ hổng tương tự ở các trình duyệt Internet Explore và Safary, mới đây, lỗ hổng spoofing tiếp tục được phát hiện trên các trình duyệt khác trên nền Android. Lỗ hổng này cho phép những kẻ tấn công hướng người dùng vào trang web độc hại.

Chuyên gia Rafay Baloch đã phát hiện ra lỗi này và nghiên cứu về các phương pháp để khai thác lỗ hổng này. Lỗ hổng này xảy ra bởi vì các trình duyệt trên nền Android đã xử lý không tốt một lỗi có tên là lỗi 204. “Sự cố này diễn ra bởi vì trình duyệt không thể xử lý lỗi 204, Không có content nào trả lời khi đang ở ngoài màn hình, trong lúc này, những kẻ tấn công có thể lợi dụng và hướng địa chỉ tới một trang web khác” Baloch viết trong một báo cáo mô tả về lỗi trên.

Lỗ hổng này được xác định là tồn tại ở cả hai phiên bản Kitkat và Lollipop, hai phiên bản Android mới và phổ biến nhất hiện nay. Tuy nhiên, Baloch xác nhận lỗi này không xảy ra đối với trình duyệt Chrome mặc định của Android.  Bởi vì theo Baloch, nó có một cơ chế thông báo về bug này tới người sử dụng khi nó đang diễn ra.

“Bởi vì những thay đổi trên ô địa chỉ chỉ được phát hiện ra trên những trình duyệt mới, vì thế, rất khó để những người sử dụng nhận ra được những sự thay đổi khi mà họ đang truy cập vào những địa chỉ lừa đảo, và cũng vì lỗ hổng ảnh hưởng tới tất cả rất nhiều phiên bản Android, rõ ràng đây là một vấn đề lớn cần giải quyết càng nhanh càng tốt.” Baloch viết trên email của mình.

Google đang cố gắng hết sức nhằm vá lại những lỗ hổng trên nền Kitkat và Lollipop. Tuy nhiên, họ cũng đang phải phân bố nhân lực để chuẩn bị cho việc cập nhật phiên bản Android mới, vì thế không thể chắc chắn bao giờ thì lỗi này mới được khắc phục hoàn toàn. Các nhà nghiên cứu khuyến cáo người dùng tránh sử dụng các trình duyệt khác ngoài Chrome.

“Trong trường hợp chưa thể vá được lỗ hổng, người dùng nên tránh sử dụng các trình duyệt để truy cập vào các link từ những nguồn không rõ ràng và không đáng tin cậy” Tod Beadrsley, giám đốc kỹ thuật của Rapid7, người cùng hợp tác với Google và Baloch để tìm ra lỗ hổng trên, cho biết.

Bình luận

Từ khóa: