Mới đây, Google đã cập nhật trình duyệt Chrome phiên bản 68 để tích hợp tính năng đánh dấu tất cả các trang web không sử dụng HTTPS là “Không an toàn”, một động thái nhằm cung cấp môi trường duyệt web an toàn hơn cho người dùng internet.
Trang TheHackerNews Dẫn lời nhà nghiên cứu bảo mật Ron Masas của công ty nghiên cứu Imperva, trình duyệt web có một lỗ hổng cho phép tin tặc tìm ra tất cả thông tin người dùng lưu trữ nên các nền tảng web khác như Facebook hay Facebook. Google. Tin tặc chỉ cần sử dụng một vài thủ thuật đơn giản để thu hút người dùng truy cập vào trang web mục tiêu để thực hiện quá trình thu thập thông tin.
Để minh họa các cuộc tấn công, nhóm nghiên cứu sử dụng Facebook làm ví dụ. Đây là mạng xã hội phổ biến nhất thế giới và thu thập rất nhiều thông tin cá nhân của người dùng như tuổi tác, giới tính, vị trí, thói quen, sở thích, v.v.
Các nhà nghiên cứu đã tạo ra nhiều bài đăng khác nhau với nhiều cách kết hợp hạn chế lượng người xem để phân loại nạn nhân theo độ tuổi, vị trí, sở thích hoặc giới tính.
Ví dụ: nếu một bài đăng được xác định là chỉ hiển thị với người dùng Facebook dưới 26 tuổi, nam giới, có lo ngại về hack hoặc bảo mật được tải thành công, kẻ tấn công có thể lấy dữ liệu cá nhân về người dùng đã xem bài đăng, bất kể cài đặt quyền riêng tư của họ.
\N
Quản trị viên của các trang web lưu trữ thông tin không có cách nào trực tiếp để phát hiện xem một bài đăng đã được đặt thành công vào nhóm mục tiêu hay chưa.
Phương pháp này không hiển thị bất kỳ bài đăng nào trên Facebook được thực hiện có chủ đích, nhưng vẫn cho phép kẻ tấn công chiếm quyền kiểm soát trang web (sử dụng JaveScript) để đo kích thước của tài nguyên gốc và số lượng yêu cầu tìm hiểu. xác định bài đăng nào đã thành công trong việc thu thập thông tin của Facebook từ mỗi cá nhân được tiếp cận.
Một thành viên trong nhóm bảo mật của Google cũng chỉ ra rằng lỗ hổng có thể được sử dụng trên các trang web sử dụng API để thu thập thông tin về các lượt truy cập cụ thể của người dùng.
Cốt lõi của lỗ hổng vẫn tương tự như một lỗi trình duyệt được phát hiện vào tháng 6, liên quan đến các lệnh yêu cầu tệp video và âm thanh, cho phép kẻ tấn công đọc nội dung của Gmail hoặc tin nhắn riêng tư trên Facebook.
Nhóm của Imperva đã báo cáo lỗ hổng cho Google kèm theo bằng chứng và nhóm bảo mật Chrome đã vá thành công lỗ hổng này trong phiên bản 68 mới phát hành. Do đó, người dùng trình duyệt này nên cập nhật trình duyệt để bảo vệ dữ liệu của họ.
