
Ghi chú nhanh: Công ty bảo mật Cynet đã phát hiện ra một vấn đề nghiêm trọng ảnh hưởng đến riêng tư trong số 1 tỷ người dùng Facebook Messenger. Được mệnh danh là Originull, lỗ hổng này dự kiến cũng sẽ ảnh hưởng đến hàng triệu trang web khác sử dụng kiểm tra hạn chế origin null. Facebook đã khắc phục sự cố này sau khi nó được công ty báo cáo.
Facebook, với sự trợ giúp của ứng dụng nhắn tin tức thời Messenger và WhatsApp, đã tìm cách thay thế các tin nhắn văn bản thông thường. Giờ đây, hơn 1 tỷ người dùng hoạt động hàng tháng tin tưởng Facebook Messenger với các cuộc trò chuyện của họ. Trong thời gian gần đây, mạng xã hội đã rất nỗ lực để bổ sung các tính năng mới và phát triển nó như một nền tảng.
Đầu tuần này, Cynet báo cáo Một nhà phê bìnhlỗ hổng bảo mật là phát hiện trên Facebook. Vụ hack này, được đặt tên là “Originull”, có khả năng ảnh hưởng đến hàng triệu trang web sử dụng kiểm tra hạn chế origin null và khiến khách truy cập trang web gặp phải các phần tử độc hại.
Lỗ hổng được nói đến về là một cây thánh giá-origin bypass tấn công cho phép kẻ tấn công sử dụng một số trang web bên ngoài và đọc tin nhắn riêng tư của người dùng Facebook. Lỗ hổng này ảnh hưởng đến ứng dụng di động của Facebook cũng như trang web.
Thông thường, trình duyệt của bạn bảo vệ bạn khỏi các vụ tấn công như vậy bằng cách chỉ cho phép các trang Facebook tìm nạp thông tin. Tuy nhiên, do lỗi này, Facebook đã mở ra một cầu nối cho phép các trang con của mạng xã hội này truy cập thông tin.
Một nhà nghiên cứu bảo mật của Cynet, Ysrael Gurt, đã phát hiện ra lỗ hổng trong cách Facebook quản lý danh tính của các trang con này. Để khai thác lỗ hổng này, tin tặc cần đánh lừa người dùng Messenger truy cập vào một trang web độc hại.
Bản tóm tắt kỹ thuật hai dòng của vụ hack cho biết:
Điều này có nghĩa là nếu chúng tôi có thể khiến trình duyệt gửi “null” trong tiêu đề “origin”, chúng tôi sẽ nhận được giá trị “null” trong “Access-Control-Allow-Origin.
Độc giả của Affizon, những người quan tâm đến việc đọc chi tiết kỹ thuật đầy đủ của vụ hack, có thể tải xuống báo cáo hoàn chỉnh về vụ hack quyền riêng tư ‘Originull’ đây. Cynet đã báo cáo vấn đề với Facebook và họ đã vá lỗ hổng này.
Gurl cũng đã tạo một video bằng chứng về khái niệm để chứng minh vụ hack quyền riêng tư của Originull:
This post is also available in: