"Lỗi trong định dạng trao đổi dữ liệu java script Object Notation có thể bị khai thác để trình bày mọi thông tin", Heather Adkins, một giám đốc bảo mật tại Google, cho hay. "Nhưng chúng tôi được biết hiện chưa có thiệt hại gì xảy ra".
Mặc dù Google đã sửa lỗi nhưng giới tin học vẫn hoài nghi về sự an toàn của dịch vụ e-mail phổ biến thứ 3 trên thế giới. Lỗ hổng này đã giúp cho tin tặc tạo ra một trang web giả có thể copy mọi địa chỉ liên lạc trong hòm thư Gmail của người sử dụng. Kẻ xấu sẽ lấy cắp rồi gửi spam hoặc bán dữ liệu cho những bên có nhu cầu.
Điều đáng nói là lỗi này đã được phát hiện từ một năm trước mà vẫn chưa được sửa hoàn chỉnh. Jeremiah Grossman, chủ tịch Hội hacker mũ trắng của Mỹ, đã thử nghiệm và cảnh báo lỗ hổng này. Anh chèn một đoạn code vào máy chủ của Gmail. Khi có bất kỳ tài khoản nào đăng nhập vào trình duyệt, đoạn mã sẽ lấy thông tin và báo về cho anh ngay trên màn hình.
"Một đoạn mã nhỏ có thể khiến cho trình duyệt web tự động gửi yêu cầu HTTP ngoài domain cho Gmail", Jeremiah cho biết. "Nếu nạn nhân đăng nhập vào tài khoản, cookies của phiên truy cập sẽ được gửi về cùng với danh sách tài khoản có trong hòm thư của họ".
 |
|
Một đoạn bài viết kiểm tra thử nghiệm của Jeremiah Grossman. Danh sách tài khoản báo về hiện ở màn hình bên phải nhưng đã được bôi đen. Ảnh: Blogger. |
Hiện giới tin học khuyến cáo:
- Không nên đặt dữ liệu nhạy cảm vào tập tin java script, gắn các đuôi HTML cho dữ liệu này để bảo vệ chúng.
- Nếu buộc phải chứa dữ liệu quan trọng trong các tập tin java script, cần làm cho đường dẫn URL trở nên phức tạp, không thể đoán định được.
- Đảm bảo các file không thể bị truy cập từ bất kỳ đâu bằng chỉ dẫn ngoài domain.
- Khi duyệt Gmail, người dùng nên tắt các chức năng java script trên trình duyệt đang sử dụng (vào Tools > Internet Options > thẻ Advanced > bỏ dấu chọn ở mục Java/Sun) hoặc đưa trang gmail.com vào mục Trusted Sites.
T.H. tổng hợp