Nguy cơ lộ lọt dữ liệu cá nhân từ các tiện ích mở rộng trên Google Chrome

Theo dõi Báo Gia Lai trên Google News
Thông qua các tiện ích mở rộng (extension) trên Google Chrome, tin tặc (hacker) có thể truy cập vào dữ liệu cá nhân của người dùng, bao gồm số an sinh xã hội, mật khẩu và thông tin tài khoản ngân hàng.
Tin tặc có thể thông qua những tiện ích mở rộng trên Google Chrome để truy cập và đánh cắp dữ liệu cá nhân của người dùng. (Ảnh minh họa)

Tin tặc có thể thông qua những tiện ích mở rộng trên Google Chrome để truy cập và đánh cắp dữ liệu cá nhân của người dùng. (Ảnh minh họa)

Các nhà nghiên cứu tại Đại học Wisconsin-Madison (Mỹ) vừa lên tiếng cảnh báo về nguy cơ lộ lọt dữ liệu cá nhân người dùng từ các tiện ích mở rộng dành cho trình duyệt Google Chrome.

Theo đó, tin tặc có thể thông qua những tiện ích mở rộng này để truy cập và đánh cắp dữ liệu cá nhân của người dùng như số an sinh xã hội, mật khẩu và thông tin tài khoản ngân hàng.

Các nhà nghiên cứu còn phát hiện những lỗ hổng liên quan đến mật khẩu được lưu trữ dưới dạng văn bản thuần túy trong mã nguồn HTML trên các trang web của một số tập đoàn lớn trên thế giới, bao gồm Google, Amazon, Citibank, Capital One và IRS.

Nguồn gốc của những lỗ hổng nói trên đến từ cách mà các tiện ích mở rộng truy cập mã nguồn trang web nội bộ.

Google hiện cung cấp hàng nghìn tiện ích mở rộng nhằm giúp người dùng sắp xếp các sự kiện theo lịch, quản lý mật khẩu, chặn quảng cáo, truy cập email, lưu dấu trang (bookmark), dịch thuật và các hoạt động tìm kiếm.

Theo ông Asmit Nayak, thành viên nhóm nghiên cứu thuộc Đại học Wisconsin-Madison, mặc dù các tiện ích mở rộng giúp tăng cường khả năng của trình duyệt và khiến việc duyệt web trở nên dễ dàng hơn, song chúng cũng tiềm ẩn nguy cơ làm lộ lọt dữ liệu riêng tư người dùng trước sự xâm nhập của các tác nhân xấu.

“Nếu không có bất kỳ biện pháp bảo vệ nào, như trường hợp một số website IRS.gov, Capital One, USENIX, Google và Amazon, tất cả tiện ích mở rộng đang chạy trên trang web đều có thể ngay lập tức truy cập được các dữ liệu nhạy cảm như SSN và thông tin thẻ tín dụng. Điều này dẫn đến nguy cơ lớn về bảo mật”, ông Nayak nói.

Google đã đưa ra một số biện pháp bảo vệ trong năm nay nhằm giới hạn chặt chẽ hơn về những loại thông tin mà các tiện ích mở rộng được phép truy cập. Tuy nhiên, vẫn chưa có lớp bảo vệ giữa các trang web và các tiện ích mở rộng trên trình duyệt, vì vậy những tác nhân xấu vẫn có thể trốn tránh không bị phát hiện.

Các nhà nghiên cứu cũng cảnh báo nguy cơ lộ lọt mật khẩu được lưu trữ trong các tệp nguồn HTML văn bản thuần túy khi mà “một tỷ lệ đáng kể các tiện ích mở rộng được quyền khai thác những lỗ hổng này”. Nayak cho biết ông và đồng nghiệp đã xác định được 190 tiện ích mở rộng “truy cập trực tiếp vào các trường mật khẩu”.

Để xác minh mối nghi ngờ về lỗ hổng mật khẩu nói trên, các nhà nghiên cứu đã tải lên một tiện ích mở rộng có thể khai thác điểm yếu và đánh cắp mật khẩu lưu ở dạng văn bản thuần túy từ các trang HTML của website. Do không chứa mã độc nên tiện ích mở rộng này đã vượt qua quá trình sàng lọc bảo mật tại Cửa hàng Chrome trực tuyến của Google.

Nayak cho rằng, việc các nhà nghiên cứu có thể dễ dàng tải lên một tiện ích mở rộng có khả năng gây hại như vậy đặt ra yêu cầu cấp thiết phải có “các biện pháp bảo mật mạnh mẽ hơn”.

Nhóm nghiên cứu thuộc Đại học Wisconsin-Madison đề xuất 2 phương pháp, bao gồm thiết lập một tiện ích bổ sung (add-on) JavaScript cho tất cả các tiện ích mở rộng để tạo lớp bảo vệ vững chắc cho các trường dữ liệu nhạy cảm; bên cạnh đó là bổ sung một tính năng trình duyệt nhằm cảnh báo người dùng khi dữ liệu nhạy cảm có dấu hiệu bị truy cập trái phép.

Có thể bạn quan tâm

Chủ tịch Hội Vật lý Hoa Kỳ chia sẻ về sóng tô-pô trong khí quyển và đại dương Trái Đất

Chủ tịch Hội Vật lý Hoa Kỳ chia sẻ về sóng tô-pô trong khí quyển và đại dương Trái Đất

(GLO)- Chiều 18-6, tại Trung tâm Quốc tế Khoa học và Giáo dục liên ngành (ICISE), ông Brad Marston - Chủ tịch Hội Vật lý Hoa Kỳ (APS), Giáo sư Vật lý tại Đại học Brown (Hoa Kỳ) đã có buổi nói chuyện đại chúng với chủ đề “Các loại sóng có nguồn gốc tô-pô trong hệ chất lưu của Trái Đất và xa hơn nữa”.

Các công cụ AI ngày càng hiểu con người, nhưng nhân loại lại dần mù mờ trước cách AI hoạt động.

Cảnh báo AI đang tiến hóa vượt ngoài tầm hiểu biết của con người

(GLO)- Các chuyên gia công nghệ hàng đầu thế giới vừa đưa ra cảnh báo về tốc độ phát triển của trí tuệ nhân tạo (AI), công nghệ này đang tiến gần đến ngưỡng mà con người không còn thực sự hiểu rõ cách nó vận hành, trong khi AI ngày càng hiểu sâu hơn về hành vi, tâm lý và động cơ của con người.

Danh sách các tên miền .vn hai ký tự chuẩn bị bước vào phiên đấu giá.

76 tên miền đặc biệt “.vn” sắp bước vào đợt đấu giá thứ hai

(GLO)- Trung tâm Internet Việt Nam (VNNIC) cho biết: Từ ngày 24 đến 25-6 sẽ tổ chức đấu giá trực tuyến quyền sử dụng 76 tên miền cấp hai có 2 ký tự dưới tên miền quốc gia “.vn”. Đây là đợt đấu giá thứ 2 trong năm 2026 đối với nhóm tên miền ngắn, đẹp và có giá trị cao trên môi trường Internet.

Doanh nghiệp AI đối mặt với rủi ro pháp lý lớn, đặc biệt là quyền sở hữu trí tuệ.

Việt Nam bảo hộ sản phẩm do AI tạo ra như thế nào?

(GLO)- Sự phát triển của trí tuệ nhân tạo (AI) đang đặt ra nhiều câu hỏi về quyền sở hữu trí tuệ đối với các sản phẩm do công nghệ này tạo ra. Từ tranh vẽ, âm nhạc đến các sáng chế, việc xác định ai là chủ sở hữu hợp pháp vẫn là vấn đề gây tranh luận tại nhiều quốc gia, trong đó có Việt Nam.

null