Các chuyên gia của gã khổng lồ tìm kiếm đang dốc sức nghiên cứu miếng vá cho lỗ hổng này, bởi nó cho phép hacker đánh cắp dữ liệu nhạy cảm hoặc cài đặt phần mềm phá hoại lên hệ thống.
Lỗ hổng "tọa lạc" bên trong cơ chế mà Google Toolbar sử dụng để bổ sung thêm nút bấm mới cho trình duyệt. Chính vì thanh công cụ không kiểm tra đủ sát sao mỗi khi cài đặt thêm nút bấm mới, nên hacker có thể "ngụy trang" cho nút bấm của hắn trông có vẻ như vừa được download từ một website hợp pháp.
Nguồn: AP
Không quá nguy hiểm
Bằng cách giả mạo xuất xứ, nguồn gốc của các nút bấm trên thanh công cụ, kẻ tấn công sẽ có thể download file độc hoặc tiến hành tấn công phishing nạn nhân, chuyên gia bảo mật Aviv Raff cho biết.
Cùng với nhận định trên, Raff đã công bố mã tấn công trên lý thuyết (proof of concept), minh họa cách khai thác lỗ hổng trên từ trình duyệt IE. Đại diện của Google xác nhận rằng hãng đang "tích cực tìm cách khắc phục sự cố".
Tuy nhiên, Raff cũng nhấn mạnh rằng việc tấn công không quá dễ dàng, đòi hỏi hacker phải có một trình độ nhất định về công nghệ và "lừa phỉnh dụ dỗ". "Phải trải qua rất nhiều bước: Đầu tiên, phải lừa được nạn nhân click vào một đường link Web.
Một cửa sổ pop-up sẽ hiện ra, hỏi người dùng có muốn cài đặt nút bấm tùy biến trên thanh công cụ hay không. Chính vì lỗ hổng, hacker có thể giả mạo như cửa sổ pop-up kia được gửi đi từ một website hoàn toàn uy tín như Google.com, dù trên thực tế không hề như vậy.
Một khi người dùng đã cài đặt nút bấm lên thanh công cụ, họ được yêu cầu click vào đó để "kích hoạt tính năng" và thế là file độc cứ thể download rào rào về máy mà nạn nhân chẳng hề hay biết".
Không phải lần đầu
Mặc dù vậy, không phải ai cũng tỏ ra lo ngại trước lỗ hổng này. "Tôi không cho là người dùng thừa kiên nhẫn và thiếu cảnh giác tới mức đi qua từng ấy bước như vậy mà vẫn chưa bỏ cuộc. Tôi không cho đây là một lỗi nghiêm trọng", chuyên gia bảo mật Marc Maiffret nhận định, "dù nó có vẻ khá thú vị".
Thế nhưng, việc Google để sót một lỗ hổng đơn giản như vậy cũng là khó chấp nhận được.
Đây không phải là lỗi Google đầu tiên mà Raff phát hiện được. Tháng trước, anh từng chỉ ra một lỗi lập trình Web đơn giản trên website của Google.com, có thể cho phép hacker tiến hành các vụ tấn công scripting chéo site.
Do các lập trình viên của Google không kiểm tra đúng cách mã HTML mà công cụ tìm kiếm tạo ra, Raff đã thành công trong việc giả lập một đường link Google "nhái" mà khi nạn nhân click vào, trình duyệt sẽ chạy mã scripting trái phép.
Bằng cách này, hacker sẽ có thể đánh cắp tài khoản Google của nạn nhân hoặc tiến hành tấn công phishing.
Trọng Cầm (Theo Infoworld)
