• Thứ Ba, 05/08/2008 18:23 (GMT+7)

    "Bức ảnh" có thể đánh cắp tài khoản Facebook của bạn

    Tại hội nghị bảo mật Black Hat đầu tháng 8/2008 ở Mỹ, các nhà nghiên cứu trình diễn phần mềm giúp đánh cắp tài khoản trên những website như Facebook, eBay, Google.

    Kiểu tấn công GIFAR này sử dụng loại file phối hợp giữa định dạng file ảnh GIF (graphics interchange format) và JAR (Java Archive). Khi đặt những file này lên các website cho phép người dùng tự do upload ảnh, các nhà nghiên cứu có thể lừa nhiều hệ thống bảo mật và chiếm tài khoản trên website đó của người lướt web. Tại Black Hat, các nhà nghiên cứu sẽ giới thiệu với những người tham dự cách tạo GIFAR.

    Với máy chủ web, file GIFAR thực sự như là một file “.gif”, tuy nhiên máy ảo Java của trình duyệt sẽ mở file GIFAR như một file Java Archive, sau đó chạy file như một applet. Điều này tạo cơ hội cho kẻ tấn công chạy mã Java trong trình duyệt của nạn nhân. Về phần mình, trình duyệt sẽ tạo applet “độc” như thể được các nhà phát triển website viết

    Để tấn công, hacker sẽ tạo ra tài khoản trên website (giả dụ là Facebook) và upload file GIFAR lên. Sau đó, hacker sẽ lừa nạn nhân đến thăm website “độc” làm trình duyệt của họ mở file GIFAR. Khi đó, applet sẽ chạy trong trình duyệt, cho phép hacker truy cập tài khoản Facebook của nạn nhân.

    Để chống lại tấn công GIFAR, cần tăng cường thêm công cụ lọc để phát hiện file lai cho các website. Sun Microsystems nên thắt chặt JRE (Java runtime environment) hơn và nhà sản xuất nên có một số thay đổi cho trình duyệt để không cho xảy ra tấn công.

    Tuy nhiên, nhà phát triển GIFAR là ông Nathan McFeters của trung tâm Advanced Security Center thuộc Ernst & Young cho biết, vấn đề sẽ không được giải quyết triệt để do nội dung “độc” vẫn có thể thoải mái đặt lên nhiều website chính thống.


    Bạch Đình Vinh
    Theo IDG News Service, 31/7/2008

    ID: O0808_1