Header Ads

Lỗi "Originull" cho phép hacker đọc trộm tin nhắn Facebook

Hãng bảo mật Cynet đã phát hiện ra một vấn đề quan trọng có ảnh hưởng đến sự riêng tư của 1 tỷ người sử dụng Facebook Messenger. Được mệnh danh là Originull, lỗ hổng này cũng sẽ ảnh hưởng tới hàng triệu trang web khác. Facebook đã sửa vấn đề này sau khi nó đã được báo cáo.


Facebook với sự trợ giúp của các ứng dụng nhắn tin tức thời Messenger và WhatsApp thay đổi cách nhắn tin truyền thống thông thường. Hiện nay, hơn 1 tỷ người sử dụng Facebook Messenger và cảm thấy tin tưởng cho các cuộc trò chuyện của họ. Trong thời gian gần đây, mạng xã hội này đã làm việc chăm chỉ để thêm các tính năng mới và phát triển nó như là một nền tảng.

Gần đây, Cynet báo cáo một lỗ hổng nghiêm trọng đã được phát hiện trên Facebook. Lỗ hỏng này, được đặt tên là "Originull" có khả năng gây ảnh hưởng đến hàng triệu trang web.

Các lỗ hổng được nhắc đến là một cuộc tấn công đường vòng, cho phép kẻ tấn công sử dụng một số trang web bên ngoài và đọc thư cá nhân của người dùng Facebook. Lỗ hổng này ảnh hưởng đến ứng dụng di động của Facebook cũng như các trang web.

Thông thường, trình duyệt của bạn bảo vệ bạn khỏi hack như vậy bằng cách chỉ cho phép các trang Facebook để lấy thông tin. Tuy nhiên, do lỗi này, Facebook sẽ mở ra một "cầu nối" cho phép trang con của mạng xã hội để truy cập thông tin.

Một nhà nghiên cứu an ninh của Cynet, Ysrael Gurt, phát hiện ra một lỗ hổng trong cách Facebook quản lý danh tính của những trang con. Để khai thác lỗ hổng này, hacker cần phải đánh lừa người dùng messenger truy cập vào một trang web độc hại.
Điều này có nghĩa rằng nếu chúng ta có thể làm cho trình duyệt để gửi "null" trong tiêu đề "origin", chúng ta sẽ nhận được một giá trị "null" trong "Access-Control-Allow-Origin.

Các bạn nào quan tâm đến vấn đề này, có thể độc bài báo cáo chi tiết đầy đủ của lỗ hỏng này bằng cách tải về bài báo cáo đầy đủ tại đây. Cynet đã báo cáo vấn đề này đến Facebook và họ đã vá lại lỗ hỏng này.

Gurl cũng đã tạo ra một đoạn video để minh họa việc hack riêng tư Originull:




Không có nhận xét nào

Được tạo bởi Blogger.