Trang chủ / Công nghệ / Tin tức

Sự thật về lỗ hổng bảo mật Zalo

Huyền Linh - Thuần Hưng 15-08-2021 17:43
Kinhtedothi - Những ngày gần đây, người dùng Zalo tỏ ra lo lắng vì tin tức một hacker rao bán cách chiếm đoạt tài khoản Zalo chỉ bằng một đường link. Theo các chuyên gia, nếu nội dung rao bán của tin tặc này là có thật, sẽ chỉ ảnh hưởng tới người dùng Zalo trên máy điện thoại chạy hệ điều hành Android.
99% nạn nhân có thể bị hack?

Trên diễn đàn trao đổi dữ liệu của hacker tên Raid***, một tài khoản mới lập vào tháng 8/2021 mang tên ilovevng đã đăng bài chào bán lỗ hổng 0-day (Zero day) giúp chiếm quyền kiểm soát bất kỳ tài khoản Zalo Chat hay Zalo Pay nào.
Cụ thể, tin tặc cho biết cần phải gửi một đường link tới nạn nhân thông qua ứng dụng Zalo. Chỉ cần nạn nhân nhấn vào đường link đó, tài khoản của họ sẽ thuộc về bạn mà không cần phải làm thêm bất kỳ thao tác nào khác. Nhân vật này cũng cam kết cung cấp mẹo để khi gửi link thì 99% nạn nhân sẽ nhấn vào mà không nghi ngờ gì. “Lỗ hổng này không để lại bất kỳ dấu vết nào, không cảnh báo… Nạn nhân có thể là bất kỳ ai...” - người rao bán thông tin.
Người mua cũng được hứa hẹn cung cấp video bằng chứng quá trình khai thác lỗ hổng bảo mật nói trên thành công trước khi thanh toán cho tin tặc. Phương thức thanh toán duy nhất được chấp nhận là tiền điện tử.
Cũng giống như nhiều bài rao bán dữ liệu khác được đăng tải trên diễn đàn này, chủ đề của thành viên nói trên được khá nhiều người quan tâm chỉ sau một ngày xuất hiện. Trong số này đã có những người liên hệ và nhận được bằng chứng từ người bán. Tuy nhiên, một thành viên diễn đàn từ năm 2019 lập tức phản hồi rằng quá trình khai thác lỗ hổng đó giống y hệt với lỗi từng được một hacker khác công khai trước đó.

Nên sử dụng dịch vụ internet an toàn

Theo chuyên gia an toàn thông tin mạng của hãng bảo mật F-Secure Corporation, cách hacker viết bài rao bán này rất lạ. Thông thường, người bán trong diễn đàn cung cấp thông tin về lỗ hổng bảo mật hoặc ảnh chụp màn hình như một cách để đảm bảo với người mua về mặt hàng rao bán của mình là chính xác. Tuy nhiên trên những diễn đàn này cũng rất nhiều các bài viết lừa đảo hoặc nhằm mục đích lợi ích khác.
Theo chuyên gia, ở ngay đoạn đầu quảng cáo của tin tặc, ta có thể thấy tin tặc viết là  "3 - 4 lỗ hổng khác nhau". Nó phải cụ thể là 3 hoặc 4.
  Dòng code báo lỗi (Nguồn: F-Secure)

Ngoài ra, tin tặc này có vẻ là người mới vì tài khoản đăng thông tin này là mới được tạo. Đồng thời trong bài viết có tiết lộ những thông tin không cần thiết như "Tôi biết nhiều kỹ sư bảo mật của VNG chơi CTF,..." Điều này có thể cho thấy người rao bán này tuổi còn trẻ và không có kinh nghiệm. Ở gần cuối bài đăng, người bán này nói rằng chuỗi khai thác đó không phải là lỗ hổng, ngược lại hoàn toàn nội dung ở đầu bài viết là điều còn khó hiểu hơn.
  Dòng code báo bẻ khóa (Nguồn: F-Secure)
"Những thông tin trên dẫn tới phán đoán của chúng tôi về người bán là người mới và không tự tin về những phát hiện của mình" - chuyên gia F-Secure cho biết.
Nội dung bài đăng gợi ý về việc khai thác có thể nhắm mục tiêu hệ điều hành trước (như lấy quyền truy cập root trong android) trên thiết bị di động và sau đó khai thác payload có thể ăn cắp cookie/thông tin đăng nhập của ứng dụng trò chuyện Zalo, điều này có thể được thực hiện trên cả facebook và gần như bất kỳ ứng dụng nào nếu bạn có quyền truy cập vào thiết bị dưới dạng root (ví dụ như một ứng dụng gián điệp / trojan gửi thông tin đăng nhập cho kẻ tấn công).
Nếu nội dung rao bán của tin tặc này là có thật, chúng tôi cho rằng nó sẽ chỉ ảnh hưởng tới người dùng Zalo trên máy điện thoại chạy hệ điều hành Android, vì với hệ điều hành iOS phiên bản mới nhất thì hiện chưa có lỗ hổng nào được biết đến để “bẻ khóa và giành quyền truy cập root”.
Vì vậy, F-Secure khuyến cáo người dùng hãy nâng cấp phiên bản hệ điều hành mới nhất cho thiết bi, sử dụng Firewall (tường lửa) để giám sát nguồn gốc và điểm đến của các kết nối ứng dụng, đồng thời cài đặt phần mềm bảo mật thiết bị trên máy tính hoặc máy điện thoại của mình, cũng như sử dụng dịch vụ internet an toàn để bảo vệ các truy cập ra internet. Tại Việt Nam, F-Secure hợp tác với FPT Telecom cung cấp dịch vụ Internet an toàn F-Safe để bảo vệ tất cả các thiết bị thông minh trong hộ gia đình không truy cập vào những trang web độc hại, giả mạo…
TAG: zalo bảo mật tài khoản dịch vụ mạng xã hội
 
Tin khác
Cảnh báo lỗ hổng bảo mật nghiêm trọng của Viber
Cảnh báo lỗ hổng bảo mật nghiêm trọng của Viber
Kinhtedothi - Lỗ hổng bảo mật nghiêm trọng của Viber khiến hàng trăm triệu người dùng trên máy tính phải đối mặt nguy cơ bị tấn công mạng.
PV-Mobile Banking ra mắt tính năng mới xuất hiện lần đầu tiên trên thị trường
PV-Mobile Banking ra mắt tính năng mới xuất hiện lần đầu tiên trên thị trường
Kinhtedothi - Với những tính năng nâng cao mang tính tiên phong, Dịch vụ Ngân hàng số PV-Mobile Banking của Ngân hàng TMCP Đại Chúng Việt Nam (PVcomBank) sẽ mang tới nhiều trải nghiệm mới mẻ, tiện ích cho khách hàng trong bối cảnh giao dịch không tiền mặt đang dần trở nên phổ biến.
Google Photos Locker được mở rộng trên nhiều thiết bị Android
Google Photos Locker được mở rộng trên nhiều thiết bị Android
Kinhtedothi - Thư mục khóa dành cho Goolge Photos được giới thiệu và tích hợp trên các dòng điện thoại Pixel của Google, nhưng tính năng hữu ích này đã được triển khai trên các thiết bị Android cũ hơn.
Thị phần điện toán đám mây Việt: Cơ hội nào cho sản phẩm Make in Vietnam ?
Thị phần điện toán đám mây Việt: Cơ hội nào cho sản phẩm Make in Vietnam ?
Kinhtedothi - Dự đoán 5 năm tới, nền tảng điện toán đám mây là hạ tầng viễn thông thiết yếu phục vụ cho việc phát triển Chính phủ số và kinh tế số. Làm thế nào tạo “cú huých” cho doanh nghiệp Make in Vietnam phát triển nền tảng này là bài toán cần giải quyết.
Nvidia ra mắt card đồ họa RTX 2060 12GB và GTX 1050 Ti mới
Nvidia ra mắt card đồ họa RTX 2060 12GB và GTX 1050 Ti mới
Kinhtedothi – RTX 2060 12GB và GTX 1050 Ti mới sẽ được phát hành vào ngày 7/12 theo cam kết của Nvidia để giải quyết tình trạng thiếu hụt đang diễn ra những năm gần đây.
Microsoft tiếp tục bán những chiếc áo len Windows Minesweeper
Microsoft tiếp tục bán những chiếc áo len Windows Minesweeper
Kinhtedothi - Những chiếc áo len Minesweeper mang hình cây thông sẽ là món quà chào đón lễ Giáng sinh mà Microsoft mang đến cho những người yêu thích sản phẩm mang tính biểu tượng này.
Vietnam DX Summit 2021: Tăng tốc chuyển đổi số hướng tới một Việt Nam số
Vietnam DX Summit 2021: Tăng tốc chuyển đổi số hướng tới một Việt Nam số
Kinhtedothi - Sáng nay (1/12), Diễn đàn Chuyển đổi số Việt Nam 2021 (Vietnam DX Summit 2021) lần thứ 2 đã chính thức được khai mạc.
Sẽ có nghiên cứu đánh giá về tác động của Tiktok đến sức khỏe con người
Sẽ có nghiên cứu đánh giá về tác động của Tiktok đến sức khỏe con người
Kinhtedothi - Các nhà nghiên cứu y tế tại trường Vệ sinh và Y học nhiệt đới London, Vương Quốc Anh đang tìm hiểu về mạng xã hội lớn nhất thế giới Tiktok để đánh giá xem tác động của nó đến sức khỏe con người như thế nào.
Gỡ rào cản phát triển năng lượng tái tạo và công nghệ xanh
Gỡ rào cản phát triển năng lượng tái tạo và công nghệ xanh
Kinhtedothi - Năng lượng tái tạo và công nghệ xanh là những chiến lược cần thiết để thực hiện chuyển đổi phù hợp với các mục tiêu khí hậu mà Việt Nam đã cam kết. Tuy nhiên, còn nhiều hạn chế đang cản trở tốc độ tăng trưởng cần thiết trong những thập kỷ tới, do đó việc phát triển các nguồn năng lượng, đặc biệt là năng lượng tái tạo giúp tăng cường an ninh năng lượng, giảm phát thải nhà kính…
Hải Phòng: 100% cán bộ, công chức, viên chức, NLĐ phải khai báo y tế, quét mã QR
Hải Phòng: 100% cán bộ, công chức, viên chức, NLĐ phải khai báo y tế, quét mã QR
Kinhtedothi - UBND TP Hải Phòng vừa có văn bản về việc triển khai thống nhất ứng dụng PC-Covid trong công tác phòng chống dịch Covid-19 trên địa bàn TP. Theo đó, 100% người dân TP phải cài đặt ứng dụng PC-Covid, quét mã QR để khai báo y tế, hạn chế tối đa việc khai báo bằng giấy.
Sức mua smartphone của người Việt giảm mạnh
Sức mua smartphone của người Việt giảm mạnh
Kinhtedothi - Do tác động của dại dịch, doanh số smartphone bán ra tại thị trường Việt Nam trong quý 3 sụt giảm 28%.