Jikto - công cụ biến người lướt web thành kẻ phá hoại

Ảnh: Uwaterloo.

Chương trình được viết bằng JavaScript này cho phép người truy cập Internet tấn công vào các lỗ hổng trang web mà chính họ không hề hay biết. "Các chương trình bảo mật sẽ không có tác dụng trước Jikto", tác giả của nó cho biết.

Thực chất, đây là một trình khai thác lỗi phổ biến có tên gọi cross-site scripting (viết tắt là XSS) làm nhiệm vụ quét lỗ hổng ứng dụng web, hoạt động một cách âm thầm và gửi kết quả về cho bên thứ ba.

Jikto có thể được cài vào trang của kẻ tấn công hoặc trang đảm bảo an toàn (trusted site) do người dùng tự đặt. Khi một người lướt web vô tình vào trang có Jikto, mã JavaScript của nó sẽ biến máy tính thành công cụ "săn" lỗ hổng của các website được mở ra sau đó. Danh tính thực sự của kẻ tấn công sẽ không thể lộ vì người dùng web vô tội mới chính là kẻ "ra tay".

Khi người sử dụng mở trình duyệt ra, công cụ này mới hoạt động và nó sẽ biến mất không để lại dấu vết lúc họ tắt đi. Jikto chạy trên hầu hết các trình duyệt mà không bị cảnh báo.

Billy Hoffman, người viết chương trình này cũng là chuyên gia nghiên cứu của hãng an ninh mạng SPI Dynamics, sẽ công bố rộng rãi công cụ ở đại hội hacker Black Hat diễn ra tại Las Vegas (Mỹ). Theo Hoffman, Jikto hiện mới chỉ phát hiện ra lỗ hổng và phiên bản kế tiếp sẽ khai thác các lỗi đó, đồng thời trích xuất dữ liệu nhạy cảm.

JavaScript đóng vai trò quan trọng trong sự phát triển mạnh mẽ của loại hình web 2.0. Nhưng các chuyên gia bảo mật cảnh báo mã JavaScript độc cùng với những lỗ hổng website sẽ gây ra nhiều thiệt hại từ các kiểu tấn công ngày càng gia tăng.

T.H. (theo CNet)