Các nhà nghiên cứu cho biết đây là một lỗi thực thi mã từ xa và đã đặt tên cho lỗ hổng này là MyFlaw, do nó lợi dụng một tính năng có tên My Flow để có thể đồng bộ hóa tin nhắn và tệp giữa thiết bị di động cũng như máy tính để bàn. Sự cố này ảnh hưởng đến cả trình duyệt Opera và Opera GX.
Hình 1. Minh họa lỗ hổng MyFlaw
My Flow có giao diện giống như một cuộc trò chuyện để trao đổi ghi chú và tệp, có thể được truy cập thông qua giao diện web, nghĩa là tệp có thể được thực thi bên ngoài ranh giới bảo mật của trình duyệt. Nó được cài đặt sẵn trong trình duyệt và được hỗ trợ bằng tiện ích mở rộng trình duyệt tích hợp (hoặc nội bộ) có tên là “Opera Touch Background”, chịu trách nhiệm liên lạc.
Điều này cũng có nghĩa là tiện ích mở rộng đi kèm với tệp manifest của trình duyệt, chỉ định tất cả các quyền cần thiết và hành vi của nó, bao gồm thuộc tính có tên externally_connectable để khai báo những trang web và tiện ích mở rộng khác có thể kết nối.
Hình 2. Cài đặt tiện ích mở rộng độc hại tự động kích hoạt chuỗi tấn công để thực thi mã
Trong trường hợp của Opera, các tên miền có thể giao tiếp với tiện ích mở rộng phải khớp với các mẫu “*[.]flow[.]opera[.]com” và “[.]flow[.]op-test[.]net”, cả hai đều do chính nhà cung cấp trình duyệt kiểm soát.
Guardio cho biết họ đã phát hiện ra một phiên bản trước đó của trang đích My Flow lưu trữ trên tên miền “web[.]flow[.]opera[.]com” bằng cách sử dụng trang công cụ dò quét urlscan.io. Bản thân trang web này thiếu thẻ meta và chứa một thẻ tập lệnh gọi tệp JavaScript mà không có bất kỳ thẻ nào để kiểm tra tính toàn vẹn. Đây chính xác là những gì kẻ tấn công cần để có thể tiêm (injection) mã và quan trọng nhất là có quyền truy cập vào API trình duyệt gốc.
Sau đó, chuỗi tấn công sẽ tạo ra một tiện ích mở rộng được chế tạo đặc biệt giả dạng thiết bị di động để ghép nối với máy tính của nạn nhân, đồng thời tải về phần mềm độc hại được mã hóa thông qua tệp JavaScript đã sửa đổi đến máy chủ để thực thi bằng cách nhắc người dùng nhấp vào bất kỳ vị trí nào trên màn hình.
Các nhà nghiên cứu cho biết, mặc dù hoạt động trong môi trường sandbox, nhưng các tiện ích mở rộng vẫn có thể trở thành công cụ giúp cho tin tặc đánh cắp thông tin và vi phạm các ranh giới bảo mật của trình duyệt. Điều này nhấn mạnh sự cần thiết phải thay đổi thiết kế nội bộ tại Opera và cải thiện cơ sở hạ tầng của Chrome.
Phản ứng trước lỗ hổng này, Opera cho biết họ đã nhanh chóng khắc phục lỗ hổng bảo mật và thực hiện bản sửa lỗi ở phía máy chủ, bên cạnh đó đang thực hiện các bước để ngăn chặn những sự cố tương tự có thể xảy ra trong tương lai.
Opera cho biết: “Cấu trúc hiện tại của chúng tôi sử dụng tiêu chuẩn HTML và là tùy chọn an toàn nhất mà không phá vỡ chức năng chính. Sau khi Guardio cảnh báo về lỗ hổng này, chúng tôi đã xử lý nguyên nhân gây ra những vấn đề này và đảm bảo rằng những vấn đề tương tự sẽ không xuất hiện trong tương lai”.
Đồng thời, đại diện của công ty phần mềm Opera Software cũng gửi lời cảm ơn đến Guardio vì đã phát hiện sớm và cảnh báo ngay lập tức về lỗ hổng. Sự hợp tác này thể hiện cách mà Opera làm việc cùng với các chuyên gia an ninh mạng và nhà nghiên cứu trên thế giới trong việc duy trì, cải thiện tính bảo mật cho các sản phẩm của họ và đảm bảo người dùng có trải nghiệm trực tuyến an toàn.
Lê Thị Bích Hằng
(Tổng hợp)
07:00 | 15/01/2024
09:00 | 01/04/2024
08:00 | 11/01/2024
07:00 | 15/01/2024
10:00 | 11/12/2024
Một lỗ hổng zero-day mới được phát hiện ảnh hưởng đến mọi phiên bản Microsoft Windows, bao gồm cả các phiên bản cũ và đang được hỗ trợ, cho phép kẻ tấn công chiếm đoạt thông tin đăng nhập NTLM của người dùng chỉ bằng việc xem một tệp trong Windows Explorer.
11:00 | 24/10/2024
Một lỗ hổng bảo mật hiện đã được vá trong ứng dụng ChatGPT của OpenAI dành cho macOS có thể cho phép kẻ tấn công cài phần mềm gián điệp vào bộ nhớ của công cụ trí tuệ nhân tạo (AI).
12:00 | 03/10/2024
Mới đây, các chuyên gia bảo mật tại Kaspersky phát hiện ra 2 phần mềm có chứa mã độc Necro trên cửa hàng ứng dụng Play Store của Google. Đáng chú ý, 2 phần mềm độc hại này đã có tới hơn 11 triệu lượt tải xuống trước khi được các chuyên gia phát hiện.
10:00 | 02/10/2024
Công ty Ivanti (Hoa Kỳ) tiết lộ một lỗ hổng bảo mật mới được vá trong Thiết bị dịch vụ đám mây (Cloud Service Appliance - CSA) của công ty đã bị tin tặc khai thác tích cực trong thực tế.
Các nhà nghiên cứu của công ty bảo mật đám mây Aqua Nautilus (Mỹ) cho biết một tác nhân đe dọa có tên là Matrix đã được liên kết với một chiến dịch từ chối dịch vụ phân tán (DoD) trên diện rộng, lợi dụng các lỗ hổng và cấu hình lỗi trong các thiết bị Internet vạn vật (IoT) để biến chúng thành một mạng lưới botnet tinh vi.
10:00 | 12/12/2024