Bảo mật

Các lỗ hổng trong Zalo cho phép hacker chiếm quyền tài khoản người dùng

author Đặng Hoài Đức - 2021-11-10 08:41:58 (GMT+7)

Nhóm săn lỗ hổng bảo mật của VinCSS đã phát hiện một số lỗ hổng nghiêm trọng của ứng dụng chat Zalo và đã thông báo đến bộ phận an ninh của Zalo vào ngày 10 tháng 8. Các hacker có thể lợi dụng các lỗ hổng này để chiếm quyền kiểm soát tài khoản Zalo của người dùng. 

Hacker có thể chiếm quyền tài khoản của người dùng thông qua việc dẫn dụ người dùng nhấp vào một đường link độc hại. Khi người dùng nhấp vào thì hacker sẽ có thể truy cập tài khoản thành công, và người dùng hoàn toàn không biết hacker đã xâm phạm bất hợp pháp vì ứng dụng Zalo không phát cảnh báo về phiên đăng nhập lạ nào.

Nhóm VinCSS còn tiết lộ thêm rằng các hacker có thể lợi dụng lỗ hổng để khai thác trực tiếp ví điện tử ZaloPay và thanh toán trực tuyến tại Việt Nam. 

VinCSS là công ty dịch vụ an ninh mạng thuộc tập đoàn Vingroup. Có nhiều nghiên cứu và đóng góp cho an ninh mạng tại Việt Nam. Sau khi được thông báo, Zalo đã vá các lỗ hổng bảo mật trên.

Các lỗ hổng bảo mật của Zalo đã được công bố

1. Lỗ hổng bảo mật trong tính năng đăng nhập ứng dụng qua Zalo

Nhóm bảo mật của VinCSS đã phát hiện tính năng đăng nhập trên có lỗ hổng bảo mật được gọi là Open Rediction cho phép thay đổi địa chỉ nhận token từ ứng dụng,

Lúc này, smartphone người dùng sẽ chuyển sang ứng dụng Zalo, đồng thời Zalo sẽ hiển thị một thông báo Yêu cầu đăng nhập vào ứng dụng Zalo Web.

Khi người dùng nhấn nút Cho phép, ứng dụng Zalo sẽ mở trình duyệt web trên smartphone kèm theo link đến địa chỉ redirect_url với một token dùng để đăng nhập. Dĩ nhiên, nếu người dùng nhất nút Từ chối, sẽ không gửi kèm token.

2. Lỗ hổng bảo mật trong tính năng xem trước nội dung liên kết

Với lỗ hổng bảo mật này, VinCSS cũng đã phát hiện ra rằng với cơ chế hiển thị nội dung trang đích cho người dùng xem trước mà không hiển thị đầy đủ địa chỉ đường link từ ứng dụng Zalo.

Điều này vô tình giúp cho các hacker lợi dụng ẩn đi các đường link độc hại và dẫn dụ người dùng nhấp vào link độc hại và dễ dàng chiếm quyền tài khoản của họ.

3. Lỗ hổng bảo mật trong cơ chế đăng nhập lại

VinCSS còn tiết lộ thêm rằng Zalo đang sử dụng cơ chế này cho phép người dùng đăng nhập lại các phiên sử dụng Zalo từ Website với cookie của phiên đã từng đăng nhập.

Tuy nhiên, cơ chế đăng nhập lại vẫn hoạt động với các phiên chưa từng đăng nhập và ẩn đi thông báo đã đăng nhập trên thiết bị mới.

4. Lỗ hổng bảo mật liên quan đến thời hạn của các phiên

Trong quá trình sử dụng ứng dụng Zalo, nhóm bảo mật VinCSS còn phát hiện khi khai thác cơ chế đăng nhập lại theo mô tả trên, phiên đăng nhập tương ứng với giá trị zpsid sẽ tồn tại rất dài.

Hacker có thể lợi dụng lỗi này để truy cập và chiếm quyền kiểm soát tài khoản người dùng lâu dài.

Hiện tất cả các lỗ hổng trên đã được vá trước khi nhóm bảo mật của VinCSS công khai thông tin. Vì vậy người dùng Zalo có thể yên tâm sử dụng.

Theo VinCSS

Chia sẻ bài viết này
Nhận tin nóng liên quan đến Bảo mật bằng cách
Subscribe Kênh Telegram Tin công nghệ

Bài viết liên quan

BẢO MẬT
Meta mở rộng chương trình bảo mật Facebook Protect cho các nhà báo, quan chức chính phủ
author Đặng Hoài Đức 3 Tháng mười hai, 2021

BẢO MẬT
Tổng hợp các lỗ hổng bảo mật nguy hiểm được phát hiện trong tháng 11 năm 2021
author Đặng Hoài Đức 1 Tháng mười hai, 2021

BẢO MẬT
Một trojan Linux mới được lên lịch chạy vào 31.2 vào năm sau
author Đặng Hoài Đức 30 Tháng mười một, 2021

tin.123host.vnTin tức SysAdmin

Nơi cập nhật tin tức mới nhất dành cho SysAdmin.

Xem thêm