404 Not Found
Writer
Hàng triệu người dùng trình duyệt Chrome đang đối mặt với nguy cơ bị chiếm quyền truy cập sau khi các nhà nghiên cứu tại Rebora Security phát hiện loạt lỗ hổng nghiêm trọng trong hai tiện ích trình duyệt AI phổ biến là SiderAI và MaxAI. Hai tiện ích này hiện được cài đặt trên hơn 10 triệu thiết bị và nằm trong nhóm tiện ích trình duyệt được sử dụng nhiều nhất trên Chrome Web Store.
Các lỗ hổng mang tên Spyder và MaXSS xuất phát từ cơ chế xử lý không an toàn giữa website và các thành phần nội bộ của tiện ích trình duyệt. Theo các nhà nghiên cứu, cả SiderAI và MaxAI đều không kiểm tra đầy đủ dữ liệu nhận từ trang web trước khi chuyển tới các tiến trình có đặc quyền cao hơn.
Khai thác thành công cho phép website độc hại thực hiện nhiều hành động nguy hiểm như mở tab ẩn, chụp ảnh màn hình, truy cập phiên đăng nhập của người dùng và tương tác với các dịch vụ trực tuyến. Trong quá trình thử nghiệm, các chuyên gia đã có thể truy cập dữ liệu từ Gmail và Google Calendar mà người dùng không hề hay biết.
Đối với SiderAI, lỗ hổng Spyder còn cho phép giả lập thao tác chuột và bàn phím trên các phiên web đang hoạt động. Kẻ tấn công có thể âm thầm mở các dịch vụ AI như Google Gemini, trích xuất nội dung hội thoại riêng tư rồi gửi dữ liệu ra ngoài.
Theo Rebora Security, tin tặc có thể đọc email, đánh cắp token xác thực, thao túng tài liệu trực tuyến và thực hiện hành động dưới danh nghĩa nạn nhân trên nhiều website khác nhau. Trong một số trường hợp, các quyền được cấp cho tiện ích trình duyệt thậm chí có thể tạo đường dẫn truy cập tới tệp cục bộ trên hệ điều hành.
Đáng chú ý, các lỗ hổng cho phép tấn công xảy ra chỉ bằng việc người dùng truy cập một trang web độc hại, không cần bất kỳ thao tác tương tác nào. Sau khi phát hiện, các nhà nghiên cứu đã thông báo cho nhà phát triển tiện ích trình duyệt và Google, đồng thời khuyến nghị gỡ bỏ ngay SiderAI và MaxAI nếu đang được cài đặt.
Tuy nhiên, các chuyên gia cảnh báo việc xóa tiện ích trình duyệt không đồng nghĩa với việc loại bỏ hoàn toàn rủi ro, đặc biệt nếu hệ thống đã từng bị khai thác trong thời gian dài. Trong kịch bản xấu, kẻ tấn công có thể đã thu thập được token phiên đăng nhập hoặc dữ liệu xác thực đang hoạt động, qua đó duy trì truy cập trái phép ngay cả sau khi tiện ích trình duyệt bị gỡ. Vì vậy, người dùng cần thực hiện đồng thời các biện pháp xử lý triệt để hơn, bao gồm đăng xuất toàn bộ phiên trên các dịch vụ quan trọng, thay đổi mật khẩu, thu hồi quyền truy cập của các ứng dụng bên thứ ba và rà soát nhật ký đăng nhập để phát hiện dấu hiệu bất thường. Việc kích hoạt xác thực đa yếu tố (MFA) được xem là yêu cầu bắt buộc để giảm thiểu nguy cơ tài khoản tiếp tục bị lạm dụng sau sự cố.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
