Nhà quảng cáo đang thu thập thông tin người dùng từ các trình quản lý mật khẩu

Mỗi người dùng Internet hiện sở hữu không dưới cả chục tài khoản trực tuyến. Do đó sử dụng một trình quản lý mật khẩu đáng tin cậy nhằm giúp bạn ghi nhớ các mật khẩu dài lê thê với cả tá chữ, số trộn lẫn là điều hết sức cần thiết. 

Theo trang tin BGR, các ứng dụng quản lý mật khẩu thực ra lại không an toàn như mọi người vẫn nghĩ, và chúng đều có những lỗ hổng chí mạng tạo điều kiện cho các công ty quảng cáo truy xuất dữ liệu từ hệ thống quản lý mật khẩu của trình duyệt.

Cụ thể, một nghiên cứu của Trung tâm Chính sách Công nghệ thông tin Princeton đã giải thích rằng một số đoạn mã nhất định được thiết kế để đánh cắp thông tin định danh từ các ứng dụng quản lý mật khẩu dựa trên trình duyệt. Bởi để có thể nhanh chóng điền các username và password được lưu trong một ứng dụng quản lý mật khẩu như 1Password hay LastPass chẳng hạn, vào các ô nhập liệu trên website, người dùng cần phải cài các add-on vào trình duyệt mình đang sử dụng. Chính những add-on này là đối tượng bị các đoạn mã độc hại kia nhắm đến. Phương thức hoạt động của các đoạn mã lợi dụng lỗ hổng bảo mật nêu trên như sau:

- Đầu tiên, một người dùng sẽ điền thông tin vào các form đăng nhập trên website, và yêu cầu trình duyệt lưu lại các thông tin này. Các đoạn mã theo dõi vẫn chưa hiện diện trên trang đăng nhập.

- Tiếp theo, khi người dùng mở một trang khác thuộc về website mà họ vừa đăng nhập, và trang này có chứa một đoạn mã theo dõi bên thứ 3 trên đó. Đoạn mã theo dõi sẽ chèn vào đó một form đăng nhập vô hình, và trình quản lý mật khẩu của trình duyệt sẽ "vô tình" tự động điền vào form này.

- Đoạn mã bên thứ 3 nêu trên sẽ thu thập lại địa chỉ email mà người dùng vừa nhập và chuyển nó về một máy chủ bên thứ 3. Lúc này, bên thứ 3 kia có thể sử dụng thông tin thu được để theo dõi người dùng.

Đáng quan ngại hơn là các đoạn mã kia bị phát hiện có mặt trên 1110 website trong tổng số 1 triệu website hàng đầu do Alexa xếp hạng. Đây là một con số khá nhỏ, và thu thập email cũng chưa phải là điều nghiêm trọng lắm, nhưng ai mà biết được liệu trong tương lai sẽ có ai lợi dụng công nghệ tương tự để thu thập luôn mật khẩu người dùng hay không?

Do đó, việc cấp thiết hiện nay là các trình quản lý mật khẩu cần phải được cập nhật để các hãng quảng cáo không thể lợi dụng công nghệ bảo mật trực tuyến quan trọng này nữa. 

Dưới đây là đoạn video biểu diễn phương thức thu thập thông tin nêu trên:

Minh.T.T


Đánh giá gần đây
Đọc nhiều nhất Phản hồi nhiều nhất

1 Việt Nam toàn thắng trên sân Mỹ Đình kể từ ngày 40 quả cầu đá bị giải tỏa

2 Dân mạng quay lưng, tấn công trang cá nhân trọng tài người Oman

3 Trận Việt Nam - Thái Lan ngày 19/11 mấy giờ đá?

4 Viettel, VNPT chặn web đen trên cả PC và smartphone

5 Xôn xao bảng báo giá sửa chữa VinFast Lux A2.0 với chi phí hơn nửa tỷ đồng

Tin Liên quan
Các tin khác
a
Xem thêm
Góc nhìn VNREVIEW