Trình duyệt mặc định trong các phiên bản Android cũ hơn 4.4 có một lỗ hổng cho phép các trang web độc hại vượt qua một cơ chế bảo mật quan trọng và kiểm soát phiên xác thực của người dùng trên các trang web khác.
Đây là một lỗ hổng tấn công qua cross-site scripting bắt nguồn từ cách thức trình duyệt xử lý javascript. Tod Beardsley, trưởng nhóm kỹ thuật của dự án Metasploit Framework cho biết trong một bài đăng trên blog hôm thứ Hai "Điều này có nghĩa là, bất kỳ trang web nào có thể nhìn trộm vào nội dung của bất kỳ trang web khác".
Tấn công trên trình duyệt mặc định của Android
Lỗ hổng bảo mật được phát hiện bởi nhà nghiên cứu bảo mật độc lập Rafay Baloch, người đã đăng một cách khai thác lỗ hổng trên blog của mình vào ngày 31/8. Tuy nhiên, lỗ hổng vẫn không được chú ý cho đến khi nhóm Metasploit đã phát triển một mô-đun có thể được sử dụng để ăn cắp cookie xác thực từ những người dùng mở một trang độc hại.
Nếu người dùng bị ảnh hưởng nên cài đặt và sử dụng một trong những trình duyệt khác có sẵn cho Android, chẳng hạn như Google Chrome, Mozilla Firefox, Dolphin Browser hoặc Opera, mà không bị ảnh hưởng bởi vấn đề này.
Thêm bình luận