Các nhà nghiên cứu tại Đại học Wisconsin-Madison (Mỹ) vừa lên tiếng cảnh báo về nguy cơ lộ lọt dữ liệu cá nhân người dùng từ các tiện ích mở rộng dành cho trình duyệt Google Chrome.
Theo đó, tin tặc có thể thông qua những tiện ích mở rộng này để truy cập và đánh cắp dữ liệu cá nhân của người dùng như số an sinh xã hội, mật khẩu và thông tin tài khoản ngân hàng.
Các nhà nghiên cứu còn phát hiện những lỗ hổng liên quan đến mật khẩu được lưu trữ dưới dạng văn bản thuần túy trong mã nguồn HTML trên các trang web của một số tập đoàn lớn trên thế giới, bao gồm Google, Amazon, Citibank, Capital One và IRS.
Nguồn gốc của những lỗ hổng nói trên đến từ cách mà các tiện ích mở rộng truy cập mã nguồn trang web nội bộ.
Google hiện cung cấp hàng nghìn tiện ích mở rộng nhằm giúp người dùng sắp xếp các sự kiện theo lịch, quản lý mật khẩu, chặn quảng cáo, truy cập email, lưu dấu trang (bookmark), dịch thuật và các hoạt động tìm kiếm.
Theo ông Asmit Nayak, thành viên nhóm nghiên cứu thuộc Đại học Wisconsin-Madison, mặc dù các tiện ích mở rộng giúp tăng cường khả năng của trình duyệt và khiến việc duyệt web trở nên dễ dàng hơn, song chúng cũng tiềm ẩn nguy cơ làm lộ lọt dữ liệu riêng tư người dùng trước sự xâm nhập của các tác nhân xấu.
“Nếu không có bất kỳ biện pháp bảo vệ nào, như trường hợp một số website IRS.gov, Capital One, USENIX, Google và Amazon, tất cả tiện ích mở rộng đang chạy trên trang web đều có thể ngay lập tức truy cập được các dữ liệu nhạy cảm như SSN và thông tin thẻ tín dụng. Điều này dẫn đến nguy cơ lớn về bảo mật”, ông Nayak nói.
Google đã đưa ra một số biện pháp bảo vệ trong năm nay nhằm giới hạn chặt chẽ hơn về những loại thông tin mà các tiện ích mở rộng được phép truy cập. Tuy nhiên, vẫn chưa có lớp bảo vệ giữa các trang web và các tiện ích mở rộng trên trình duyệt, vì vậy những tác nhân xấu vẫn có thể trốn tránh không bị phát hiện.
Các nhà nghiên cứu cũng cảnh báo nguy cơ lộ lọt mật khẩu được lưu trữ trong các tệp nguồn HTML văn bản thuần túy khi mà “một tỷ lệ đáng kể các tiện ích mở rộng được quyền khai thác những lỗ hổng này”. Nayak cho biết ông và đồng nghiệp đã xác định được 190 tiện ích mở rộng “truy cập trực tiếp vào các trường mật khẩu”.
Để xác minh mối nghi ngờ về lỗ hổng mật khẩu nói trên, các nhà nghiên cứu đã tải lên một tiện ích mở rộng có thể khai thác điểm yếu và đánh cắp mật khẩu lưu ở dạng văn bản thuần túy từ các trang HTML của website. Do không chứa mã độc nên tiện ích mở rộng này đã vượt qua quá trình sàng lọc bảo mật tại Cửa hàng Chrome trực tuyến của Google.
Nayak cho rằng, việc các nhà nghiên cứu có thể dễ dàng tải lên một tiện ích mở rộng có khả năng gây hại như vậy đặt ra yêu cầu cấp thiết phải có “các biện pháp bảo mật mạnh mẽ hơn”.
Nhóm nghiên cứu thuộc Đại học Wisconsin-Madison đề xuất 2 phương pháp, bao gồm thiết lập một tiện ích bổ sung (add-on) JavaScript cho tất cả các tiện ích mở rộng để tạo lớp bảo vệ vững chắc cho các trường dữ liệu nhạy cảm; bên cạnh đó là bổ sung một tính năng trình duyệt nhằm cảnh báo người dùng khi dữ liệu nhạy cảm có dấu hiệu bị truy cập trái phép.
