Axis là trình duyệt web được Yahoo! tung ra dưới dạng ứng dụng dành cho nền tảng iOS (cả iPhone lẫn iPad), đồng thời hoạt động dưới dạng add-on dành cho các trình duyệt trên máy tính cá nhân (Firefox, Safari, Chrome và Internet Explorer).
Tuy nhiên, theo phát hiện của một doanh nhân kiêm hacker Nik Cubrilovic thì add-on Axis trên trình duyệt web Google Chrome của Google ẩn chứa một lỗ hổng bảo mật nghiêm trọng.
Sau khi download và cài đặt add-on Axis cho Google Chrome với mục đích kiểm tra mã nguồn, Cubrilovic đã phát hiện ra rằng giấy phép xác nhận mà Axis sử dụng để xác thực với Google, về cơ bản là đoạn mã dùng để Chrome kiểm tra xem add-on cài đặt có an toàn hay không, có thể dễ dàng bị truy cập bởi bất kỳ ai.
Tuy nhiên, theo phát hiện của một doanh nhân kiêm hacker Nik Cubrilovic thì add-on Axis trên trình duyệt web Google Chrome của Google ẩn chứa một lỗ hổng bảo mật nghiêm trọng.
Sau khi download và cài đặt add-on Axis cho Google Chrome với mục đích kiểm tra mã nguồn, Cubrilovic đã phát hiện ra rằng giấy phép xác nhận mà Axis sử dụng để xác thực với Google, về cơ bản là đoạn mã dùng để Chrome kiểm tra xem add-on cài đặt có an toàn hay không, có thể dễ dàng bị truy cập bởi bất kỳ ai.
Yahoo! sẽ phải tốn không ít công sức để lấy lại lòng tin ở người dùng với Axis sau lỗi bảo mật nghiêm trọng vừa bị phát hiện
Điều này có nghĩa là nếu một hacker muốn tạo ra một phần mềm độc hại để lây nhiễm vào Chrome, họ có thể sử dụng quyền xác nhận này của Axis để làm cho phần mềm độc hại dường như trở nên an toàn, nhằm qua mắt trình duyệt Chrome.
Một khi đã nhìn thấy quyền xác nhận, Chrome sẽ nghĩ rằng phần mềm độc hại này đã được phê duyệt bởi Yahoo! và cho phép cài đặt.
Cubrilovic cho biết ông đã thử nghiệm lỗ hổng bảo mật này bằng cách tạo ra một bản sao của add-on Axis trên Chrome, sử dụng chính giấy phép xác nhận trên add-on Axis, sau đó cài đặt add-on giả mạo vào trình duyệt Chrome. Quá trình này diễn ra hoàn hảo khi Chrome tưởng nhầm rằng đó là add-on của Yahoo.
Theo Cubrilovic, nếu hacker sử dụng giấy phép xác nhận này của Axis, về mặt lý thuyết tin tặc có thể tạo ra các phần mềm độc hại để có thể nắm bắt tất cả các trang web mà người dùng truy cập trên trình duyệt Chrome, bao gồm cả mật khẩu đăng nhập và cookies.
Ngay sau khi có thông tin về lỗ hổng bảo mật nguy hiểm này, phát ngôn viên của Yahoo cho biết: “Chúng tôi đã nhận được báo cáo về lỗ hổng bảo mật của Axis trên Chrome. Chúng tôi sẽ làm việc nhanh chóng để khắc phục vấn đề này và ra mắt add-on mới trên Chrome. Người dùng đã cài đặt Yahoo Axis trên Chrome trong khoản thời gian từ 6 - 9 giờ sáng (theo giờ Việt Nam) từ ngày 23/5 hãy gỡ bỏ add-on cũ và cài đặt phiên bản mới”.
Hãng bảo mật Sophos sau đó cũng đã xác nhận rằng Yahoo đã thay thế add-on Axis trên trình duyệt Chrome sang phiên bản mới. Tuy nhiên, điều đáng quan ngại là liệu Google đã hủy bỏ giấy phép cũ được sử dụng bởi add-on Axis cũ hay chưa. Nếu chưa, hacker vẫn có thể loại dụng giấy phép này để tạo ra các add-on giả mạo và xâm nhập vào trình duyệt Chrome.
Sophos cũng đưa ra lời khuyên người dùng chưa nên sử dụng Axis vào thời điểm này và chờ một thời gian nữa cho add-on này thực sự hoàn thiện.
Lỗ hổng bảo mật vừa được phát hiện được xem là một “cú vấp” khá nặng dành cho Yahoo!, khi hãng đang nỗ lực lấy lại hình ảnh và uy tín của mình. Tuy nhiên, với việc mắc phải lỗi bảo mật nghiêm trọng chỉ sau một ngày được ra mắt, Yahoo! sẽ lại phải tốn rất nhiều công sức để lấy lại lòng tin ở người sử dụng.
Một khi đã nhìn thấy quyền xác nhận, Chrome sẽ nghĩ rằng phần mềm độc hại này đã được phê duyệt bởi Yahoo! và cho phép cài đặt.
Cubrilovic cho biết ông đã thử nghiệm lỗ hổng bảo mật này bằng cách tạo ra một bản sao của add-on Axis trên Chrome, sử dụng chính giấy phép xác nhận trên add-on Axis, sau đó cài đặt add-on giả mạo vào trình duyệt Chrome. Quá trình này diễn ra hoàn hảo khi Chrome tưởng nhầm rằng đó là add-on của Yahoo.
Theo Cubrilovic, nếu hacker sử dụng giấy phép xác nhận này của Axis, về mặt lý thuyết tin tặc có thể tạo ra các phần mềm độc hại để có thể nắm bắt tất cả các trang web mà người dùng truy cập trên trình duyệt Chrome, bao gồm cả mật khẩu đăng nhập và cookies.
Ngay sau khi có thông tin về lỗ hổng bảo mật nguy hiểm này, phát ngôn viên của Yahoo cho biết: “Chúng tôi đã nhận được báo cáo về lỗ hổng bảo mật của Axis trên Chrome. Chúng tôi sẽ làm việc nhanh chóng để khắc phục vấn đề này và ra mắt add-on mới trên Chrome. Người dùng đã cài đặt Yahoo Axis trên Chrome trong khoản thời gian từ 6 - 9 giờ sáng (theo giờ Việt Nam) từ ngày 23/5 hãy gỡ bỏ add-on cũ và cài đặt phiên bản mới”.
Hãng bảo mật Sophos sau đó cũng đã xác nhận rằng Yahoo đã thay thế add-on Axis trên trình duyệt Chrome sang phiên bản mới. Tuy nhiên, điều đáng quan ngại là liệu Google đã hủy bỏ giấy phép cũ được sử dụng bởi add-on Axis cũ hay chưa. Nếu chưa, hacker vẫn có thể loại dụng giấy phép này để tạo ra các add-on giả mạo và xâm nhập vào trình duyệt Chrome.
Sophos cũng đưa ra lời khuyên người dùng chưa nên sử dụng Axis vào thời điểm này và chờ một thời gian nữa cho add-on này thực sự hoàn thiện.
Lỗ hổng bảo mật vừa được phát hiện được xem là một “cú vấp” khá nặng dành cho Yahoo!, khi hãng đang nỗ lực lấy lại hình ảnh và uy tín của mình. Tuy nhiên, với việc mắc phải lỗi bảo mật nghiêm trọng chỉ sau một ngày được ra mắt, Yahoo! sẽ lại phải tốn rất nhiều công sức để lấy lại lòng tin ở người sử dụng.
Theo T.Thủy (Dân trí / Mashable)
