Safari trong số bảy trình duyệt di động bị ảnh hưởng bởi lỗ hổng giả mạo thanh địa chỉ

Safari-iPhone-shutterstock-trang web

Các nhà nghiên cứu tại công ty an ninh mạng Rapid7 đã tuyên bố rằng một số trình duyệt di động phổ biến dễ bị tấn công bởi mười lỗ hổng ‘Address Bar Spoofing’ mới, do đó gây nguy hiểm cho quyền riêng tư và bảo mật kỹ thuật số của người dùng. Theo báo cáo, các trình duyệt bị ảnh hưởng bao gồm Safari, Opera Touch, Opera Mini, Bilt, RITS, UC Browser và Yandex Browser.

Các vấn đề đã được phát hiện vào đầu năm nay bởi các nhà nghiên cứu Rapid7 kết hợp với nhà phân tích an ninh mạng người Pakistan, Rafay Baloch và đã được báo cáo cho các nhà phát triển tương ứng vào tháng 8. Trong khi Apple kể từ đó đã phát hành bản sửa lỗi cho Safari, Opera cho biết họ sẽ tung ra bản vá vào ngày 11 tháng 11. Phần còn lại của các nhà phát triển được cho là đã bỏ qua các cảnh báo hoặc không theo dõi sau phản hồi ban đầu.

Mặc dù giả mạo thanh địa chỉ đã tồn tại từ những ngày đầu của thế giới web, nhưng hầu hết các trình duyệt trên máy tính để bàn đã bổ sung thêm một số lớp bảo vệ pf trong nhiều năm để ngăn các trang web che giấu danh tính thực của chúng với khách truy cập. Tuy nhiên, do hạn chế về không gian trên thiết bị di động, một số biện pháp kiểm tra bảo mật để phát hiện giả mạo không thể dễ dàng áp dụng trên thiết bị di động, khiến chúng dễ bị tấn công hơn gấp nhiều lần.

Giải thích cách hoạt động của giả mạo thanh địa chỉ, các nhà nghiên cứu nói rằng “Tất cả khai thác đều thuộc về, ‘trò tai quái trong Javascript’”. Theo Giám đốc Nghiên cứu của Rapid7, Tod Beardsley, “Bằng cách xáo trộn thời gian giữa các lần tải trang và khi trình duyệt có cơ hội làm mới thanh địa chỉ, kẻ tấn công có thể khiến cửa sổ bật lên xuất hiện từ một trang web tùy ý hoặc có thể hiển thị nội dung trong cửa sổ trình duyệt xuất hiện sai đến từ một trang web tùy ý ”.

Bạn có thể tìm hiểu thêm chi tiết kỹ thuật về những phát hiện trên trang web của Baloch hoặc blog Rapid7.