Mỗi người dùng Internet hiện sở hữu không dưới cả chục tài khoản trực tuyến. Do đó sử dụng một trình quản lý mật khẩu đáng tin cậy nhằm giúp bạn ghi nhớ các mật khẩu dài lê thê với cả tá chữ, số trộn lẫn là điều hết sức cần thiết.
Cụ thể, một nghiên cứu của Trung tâm Chính sách Công nghệ thông tin Princeton đã giải thích rằng một số đoạn mã nhất định được thiết kế để đánh cắp thông tin định danh từ các ứng dụng quản lý mật khẩu dựa trên trình duyệt. Bởi để có thể nhanh chóng điền các username và password được lưu trong một ứng dụng quản lý mật khẩu như 1Password hay LastPass chẳng hạn, vào các ô nhập liệu trên website, người dùng cần phải cài các add-on vào trình duyệt mình đang sử dụng. Chính những add-on này là đối tượng bị các đoạn mã độc hại kia nhắm đến. Phương thức hoạt động của các đoạn mã lợi dụng lỗ hổng bảo mật nêu trên như sau:
- Đầu tiên, một người dùng sẽ điền thông tin vào các form đăng nhập trên website, và yêu cầu trình duyệt lưu lại các thông tin này. Các đoạn mã theo dõi vẫn chưa hiện diện trên trang đăng nhập.
- Tiếp theo, khi người dùng mở một trang khác thuộc về website mà họ vừa đăng nhập, và trang này có chứa một đoạn mã theo dõi bên thứ 3 trên đó. Đoạn mã theo dõi sẽ chèn vào đó một form đăng nhập vô hình, và trình quản lý mật khẩu của trình duyệt sẽ "vô tình" tự động điền vào form này.
- Đoạn mã bên thứ 3 nêu trên sẽ thu thập lại địa chỉ email mà người dùng vừa nhập và chuyển nó về một máy chủ bên thứ 3. Lúc này, bên thứ 3 kia có thể sử dụng thông tin thu được để theo dõi người dùng.
Đáng quan ngại hơn là các đoạn mã kia bị phát hiện có mặt trên 1110 website trong tổng số 1 triệu website hàng đầu do Alexa xếp hạng. Đây là một con số khá nhỏ, và thu thập email cũng chưa phải là điều nghiêm trọng lắm, nhưng ai mà biết được liệu trong tương lai sẽ có ai lợi dụng công nghệ tương tự để thu thập luôn mật khẩu người dùng hay không?
Do đó, việc cấp thiết hiện nay là các trình quản lý mật khẩu cần phải được cập nhật để các hãng quảng cáo không thể lợi dụng công nghệ bảo mật trực tuyến quan trọng này nữa.
Theo ICTNews
Thêm bình luận