Toàn bộ vấn đề nằm trong việc sử dụng JavaScript và Active X, hai ngôn ngữ thường dùng để chạy các chương trình trên trang Web. Theo giới chuyên gia bảo mật thì những kẻ lập trình đen tối có thể lợi dụng hai ngôn ngữ này để tự động phát tán spyware từ một blog đến tất cả những ai (chẳng may) ghé thăm phải blog đó, trong điều kiện trình duyệt Web của họ có sơ hở.
Các công cụ spyware thậm chí còn có thể được giấu kín bên trong những chương trình JavaScript cung cấp miễn phí trên Web, phục vụ blogger nào muốn tăng cường các chức năng âm nhạc hoặc media cho site của mình. Hệ quả là những blogger sử dụng công cụ nhiễm spyware sẽ vô tình biến con cưng của mình thành "đại lý phát tán miễn phí" spyware. Vấn đề càng trở nên nguy hiểm hơn khi các công cụ tự xuất bản như blog và Podcast ngày càng trở nên phổ biến và được sử dụng bởi hàng triệu người trên toàn thế giới Net.
Spyware đã trở thành một nạn dịch đeo bám người lướt Web và các công ty từ vài năm trở lại đây. Giới hacker lợi dụng những lỗ hổng bảo mật bên trong các phần mềm email, trình duyệt Web và ứng dụng desktop để phát tán các đoạn mã chuyên dùng để "bòn rút" thông tin cá nhân hoặc cho máy tính của bạn chết ngập trong thư rác quảng cáo. Và giờ thì đến lượt blog - một công nghệ "trong sáng" và đặc biệt hữu ích - bị những "kẻ đểu cáng" đó phù phép thành "vật trung gian" truyền bệnh.
Tin duy nhất tạm đáng mừng vào lúc này là nguy cơ mới chỉ đe doạ đến những ai lướt Web bằng trình duyệt IE của Microsoft và không cài đặt chế độ bảo mật ở mức độ cao nhất.
Google "xấu xa"?
Blogger của Google, công cụ xuất bản Blog phổ biến nhất hiện nay, chính là nơi phản ánh rõ nhất nguy cơ nói trên. Các vị khách viếng thăm mạng Blogspot.com trực thuộc Blogger đã phàn nàn rằng họ mở phải những site bị lây nhiễm spyware khi sử dụng đường link "Blog tiếp theo". "Họ để cửa sau hoàn toàn mở toang", Ben Edelman, một nhà nghiên cứu của trường đại học Harvard cho biết. Phản ứng trước chuyện này, đại diện của Google chỉ nói hãng đã nắm được vấn đề và đang tìm cách giải quyết.
"Khi tôi click vào, một đống quảng cáo pop-up nhảy xổ ra, tìm mọi cách truyền nhiễm những đoạn mã độc hại vào bên trong máy tính. Một quảng cáo thậm chí còn đưa ra cảnh báo giả rằng máy tính của tôi sơ hở với spyware và mời chào click vào một đường link để "tự bảo vệ chính mình", một người truy cập vào Blogspot kể lại. Sau khi anh này click vào đường link, máy tính của anh ta đã... "dính chưởng". Ít nhất một người khác đã tố cáo máy tính của anh này tự động download mà không yêu cầu click vào bất cứ quảng cáo nào. "Nó đánh úp tôi, vì vậy bạn hãy cẩn thận", nạn nhân, một luật sư củaMallory & Tsibouris, đau khổ cảnh báo.
Dịch vụ "ma quỷ"?
Theo Edelman thì một trong những "thủ phạm" chính phát tán mã nguồn độc hại là một dịch vụ có tên iWebtunes.com cho phép bạn chèn nhạc vào website của mình dưới dạng vài dòng mã JavaScript. Các blogger sử dụng Blogspot có thể đã nhúng mã iWebtunes vào bên trong template và từ đó, vô tình truyền spyware sang những vị khách viếng thăm. IWebtunes có thể thu phí đối với mỗi lần dịch vụ này phát tán được spyware, hoặc cũng có thể hưởng lợi từ doanh thu bán quảng cáo. Trong khi đó, các blogger chẳng những không được gì mà còn bị "đổ vạ".
Sau khi phát hiện này của Edelman được công bố, mọi nỗ lực của giới báo chí để tiếp xúc với iWebtunes đều thất bại. Hãng này không công bố thông tin liên lạc trên website và thậm chí còn sử dụng một trung gian để bảo vệ danh tính của mình trong cơ sở dữ liệu Whois, cổng đăng ký công của các chủ website. Tuy trong Whois, iWebtunes có khai báo một số điện thoại, song số này liên tục bận khi các phóng viên gọi đến.
Tất nhiên, Google không phải kẻ "tội đồ" duy nhất đáng bị lôi ra trút tội. Từ lâu, Microsoft đã bị chỉ trích không ngớt về những yếu kém trong bảo mật, cho phép hacker tấn công và lợi dụng IE, trình duyệt Web thông dụng nhất thế giới. "Bạn có thể trách người sử dụng vì đã ngây thơ click vào pop-up, trách Microsoft vì đã thiết kế ra những hệ thống cài đặt phần mềm thiếu an toàn, quy tội cho iWebtunes vì phát tán pop-up, hay thậm chí là lôi cả tác giả các blog vào cuộc vì họ (can tội) đã sử dụng iWebtunes".
Theo lời khuyên của Edelman thì tạm thời, bạn nên chuyển sang dùng trình duyệt Firefox của Mozilla khi muốn đọc blog vào thời điểm này. Nếu không, bạn hãy thay đổi cài đặt bảo mật IE của mình lên cấp độ cao nhất, vô hiệu hoá ActiveX hoặc JavaScript bên trong trình duyệt IE.
Cầm Thi (Theo CNET)