TCPC- Một công cụng có thể tự động đánh cắp ID của những phiên không mã hóa và có thể đột nhập vào tài khoản e-mail của Google đã được những hacker giới thiệu tại hội nghị hacker Defcon tại Las Vegas.>>Hacker suy ngẫm về tấn công vật lý trong thế giới mạng
Tuần trước, Google đã giới thiệu một chức năng mới của Gmail cho phép người dùng sử dụng vĩnh viễn chức năng SSL và sử dụng nó mỗi khi sử dụng bất cứ chức năng gì của Gmail chứ không chỉ vào lúc log-in. Bất kể những ai không muốn bật nó lên đã có lý do để chứng minh cho hành động của mình bởi Mike Perry – một kĩ sư reverse (chuyên đảo ngược cách hoạt động của một thiết bị, hoặc chức năng của phần mềm để tìm ra cách hoạt động của nó) đến từ San Francisco đã phát triển một công cụ và sẽ cho ra mắt hai tuần sắp tới.
Khi bạn log-in vào tài khoản của Gmail, trang web sẽ gửi cho bạn một cookie (1 file văn bản) chức phiên hoạt động ID của bạn với trình duyệt. Chính file cookie này sẽ cho phép website biết bạn đã được xác thực và giữ bạn log-in trong vòng 2 tuần trừ khi bạn bấm nút sign-out. Khi bạn bấm nút sign-out, file cookie này sẽ bị xóa.
Mặc dù khi bạn log-in, Gmail sẽ buộc quá trình xác thực phải đi qua SSL (cơ chế bảo mật Secure Socket Layer) và sau khi quá trình xác thực đã xong, kết nối sẽ quay trở lại kết nối không mã hóa thông thường. Theo như Google, cơ chế này được mặc định sử dụng vì nó được dùng để hỗ trợ người dùng có băng thông yếu bởi kết nối SSL thường chậm hơn bình thường.
Vấn đề nằm ở chỗ: mỗi khi bạn truy xuất bất cứ thứ gì trên Gmail, ngay cả những bức ảnh, trình duyệt của bạn cũng sẽ gửi cookie của bạn đến website của Gmail. Chính nhờ quá trình này mà hacker có thể tấn công bằng cách sniff lưu lượng trên mạng và chèn vào một hình ảnh lấy từ trang http://mail.google.com và bắt trình duyệt của bạn gửi file cookie, từ đó họ lấy được phiên ID của bạn. Khi lấy được phiên ID, kẻ tấn công có thể log-in vào tài khoản mà không cần password. Những ai hay vào e-mail sử dụng những hotspot wireless như các quán cà phê Internet hay ở trường học thường dễ bị tấn công hơn là những người dùng mạng đã được bảo mật.
Perry có nói anh đã báo cho Google về việc này suốt hơn 1 năm qua và ngay cả họ cho lựa chọn thì anh vẫn không hài lòng về việc thiếu thông tin từ phía họ.”Google không giải thích tại sao sử dụng chức năng mới này lại quan trọng như vậy.” Anh tiếp tục đưa ra những lý do mà tại sao họ đã không thông báo tới người dùng: “Điều này làm cho những người dùng có thói quen log-in vào Gmail bắt đầu với phiên https:// vô tình có khái niệm sai về bảo mật bởi họ tưởng mình đang được an toàn nhưng thực ra không phải vậy.”
Nếu bạn đang truy cập vào tài khoản Gmail tại một địa điểm khác và bạn muốn tận dụng lợi ích của chức năng này khi đang dùng trong một mạng không đáng tin cậy, bạn nên gõ vào trình duyệt là https://mail.google.com trước khi bạn log-in. Vì việc bạn gõ như vậy sẽ giúp bạn có thể truy cập hoàn toàn vào phiên bản SSL của Gmail và luôn sử dụng nó trong suốt tất cả các phiên cho đến khi log–out chứ không phải chỉ trong quá trình xác thực ban đầu.
Tuần trước, Google đã giới thiệu một chức năng mới của Gmail cho phép người dùng sử dụng vĩnh viễn chức năng SSL và sử dụng nó mỗi khi sử dụng bất cứ chức năng gì của Gmail chứ không chỉ vào lúc log-in. Bất kể những ai không muốn bật nó lên đã có lý do để chứng minh cho hành động của mình bởi Mike Perry – một kĩ sư reverse (chuyên đảo ngược cách hoạt động của một thiết bị, hoặc chức năng của phần mềm để tìm ra cách hoạt động của nó) đến từ San Francisco đã phát triển một công cụ và sẽ cho ra mắt hai tuần sắp tới.
Khi bạn log-in vào tài khoản của Gmail, trang web sẽ gửi cho bạn một cookie (1 file văn bản) chức phiên hoạt động ID của bạn với trình duyệt. Chính file cookie này sẽ cho phép website biết bạn đã được xác thực và giữ bạn log-in trong vòng 2 tuần trừ khi bạn bấm nút sign-out. Khi bạn bấm nút sign-out, file cookie này sẽ bị xóa.
Mặc dù khi bạn log-in, Gmail sẽ buộc quá trình xác thực phải đi qua SSL (cơ chế bảo mật Secure Socket Layer) và sau khi quá trình xác thực đã xong, kết nối sẽ quay trở lại kết nối không mã hóa thông thường. Theo như Google, cơ chế này được mặc định sử dụng vì nó được dùng để hỗ trợ người dùng có băng thông yếu bởi kết nối SSL thường chậm hơn bình thường.
Vấn đề nằm ở chỗ: mỗi khi bạn truy xuất bất cứ thứ gì trên Gmail, ngay cả những bức ảnh, trình duyệt của bạn cũng sẽ gửi cookie của bạn đến website của Gmail. Chính nhờ quá trình này mà hacker có thể tấn công bằng cách sniff lưu lượng trên mạng và chèn vào một hình ảnh lấy từ trang http://mail.google.com và bắt trình duyệt của bạn gửi file cookie, từ đó họ lấy được phiên ID của bạn. Khi lấy được phiên ID, kẻ tấn công có thể log-in vào tài khoản mà không cần password. Những ai hay vào e-mail sử dụng những hotspot wireless như các quán cà phê Internet hay ở trường học thường dễ bị tấn công hơn là những người dùng mạng đã được bảo mật.
Perry có nói anh đã báo cho Google về việc này suốt hơn 1 năm qua và ngay cả họ cho lựa chọn thì anh vẫn không hài lòng về việc thiếu thông tin từ phía họ.”Google không giải thích tại sao sử dụng chức năng mới này lại quan trọng như vậy.” Anh tiếp tục đưa ra những lý do mà tại sao họ đã không thông báo tới người dùng: “Điều này làm cho những người dùng có thói quen log-in vào Gmail bắt đầu với phiên https:// vô tình có khái niệm sai về bảo mật bởi họ tưởng mình đang được an toàn nhưng thực ra không phải vậy.”
Nếu bạn đang truy cập vào tài khoản Gmail tại một địa điểm khác và bạn muốn tận dụng lợi ích của chức năng này khi đang dùng trong một mạng không đáng tin cậy, bạn nên gõ vào trình duyệt là https://mail.google.com trước khi bạn log-in. Vì việc bạn gõ như vậy sẽ giúp bạn có thể truy cập hoàn toàn vào phiên bản SSL của Gmail và luôn sử dụng nó trong suốt tất cả các phiên cho đến khi log–out chứ không phải chỉ trong quá trình xác thực ban đầu.
(Nhật Minh - Theo Softpedia)
Set as favorite
Bookmark
Email This
Hits: 621
Comments (1)
Subscribe to this comment's feedWrite comment
| < Trang trước | Trang sau > |
|---|
