Nghi vấn trình duyệt Cốc Cốc lấy cookies tài khoản Facebook

Thảo luận trong 'Tin tức An ninh mạng' bắt đầu bởi lochv37, 16/04/18, 10:04 AM.

  1. lochv37

    lochv37 W-------

    Tham gia: 05/01/15, 03:01 PM
    Bài viết: 29
    Đã được thích: 20
    Điểm thành tích:
    8
    coccocleak.png

    Tối hôm qua, nhóm Facebook SEM Việt Nam đưa thông tin về việc trình duyệt Cốc Cốc thu thập cookies tài khoản Facebook của người dùng. Trong video đăng lên, tác giả đã thực nghiệm lại quá trình này:

    - Bật phần mềm kiểm tra request trên máy tính thì thấy Cốc Cốc có gửi lên server đoạn POST trong đó có chứa cookies tài khoản vừa đăng nhập lên domain: https://spell.itim.vn

    - Check domain thì thấy đơn vị chủ quản là Công ty TNHH Cốc Cốc

    - Cookies đăng nhập chính là tài khoản Facebook.


    Thông tin này làm người dùng khá lo lắng về việc lộ lọt dữ liệu cá nhân khi sử dụng trình duyệt Cốc Cốc.

    Tuy nhiên, phía Cốc Cốc đã có phản hồi, cho rằng lỗi trên là kết hợp cả 2 phía: do người dùng sử dụng đồng thời add-on Ninja Fast Login Facebook, phần mềm sử dụng cookies người dùng đã copy để đơn giản hóa việc đăng nhập vào Facebook, và tính năng kiểm tra lỗi chính tả spell checker của Cốc Cốc.

    Cốc Cốc khuyến cáo người dùng không nên sử dụng Ninja Fast Login Facebook hoặc tắt tính năng kiểm tra lỗi chính tả trên trình duyệt Cốc Cốc, cho tới khi Cốc Cốc khắc phục được vấn đề này.

    Câu trả lời của Cốc Cốc chưa thực sự thuyết phục và vẫn còn khá nhiều câu hỏi được đặt ra. Đó là:

    1. Cốc Cốc có lấy cookies Facebook của người dùng?

    2. Tính năng spell check của Cốc Cốc có gửi mọi thông tin của người dùng về cho Cốc Cốc?


    Mình sẽ tiếp tục làm rõ và update để các bạn nắm được.

    Phần tiếp theo mời các bạn xem ở đây: Video: Cốc Cốc lấy thông tin như thế nào?
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    whf and Sugi_b3o like this.
  2. poseidon

    poseidon Well-Known Member

    Tham gia: 09/04/17, 04:04 PM
    Bài viết: 55
    Đã được thích: 9
    Điểm thành tích:
    8
    Cái mình quan tâm hơn là thằng Spell check của coccoc kia nó đã bị lỗi lâu chưa và lỗi ấy có vô tình thu nhận toàn bộ thông tin mà người dùng coccoc nhập vào trong quá trình sử dụng không?
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  3. lochv37

    lochv37 W-------

    Tham gia: 05/01/15, 03:01 PM
    Bài viết: 29
    Đã được thích: 20
    Điểm thành tích:
    8
    mình không nghĩ là lỗi, có thể là 1 tính năng
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    Sugi_b3o thích bài này.
  4. PhantomPhoenix

    PhantomPhoenix New Member

    Tham gia: 15/12/17, 09:12 AM
    Bài viết: 1
    Đã được thích: 0
    Điểm thành tích:
    1
    Mình đã thử đăng nhập theo cách bình thường và không thấy có vấn đề liên quan đến cookie, ở đây có lẽ thực sự có vấn đề ở phần mềm Ninja Login kia vì nó sử dụng thông tin ở Clilpboard để đăng nhập có thể đã vào một case nào đó check spell của CocCoc
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  5. Hiếu Phan

    Hiếu Phan New Member

    Tham gia: 16/04/18, 09:04 PM
    Bài viết: 3
    Đã được thích: 0
    Điểm thành tích:
    1
    Chào bạn, mình là Hiếu Phan, developer từ Cốc Cốc Browser. Mình xin trả lời các câu hỏi của bạn như sau:

    1. Cốc Cốc có lấy cookies Facebook của người dùng?

    Không và Cốc Cốc sẽ không bao giờ làm vậy. Đó chỉ là một sự hiểu nhầm mà thôi. Extension Ninja Fast Login Facebook sử dụng một trick để lấy dữ liệu từ clipboard, đó là thực hiện lện paste vào một text filed ẩn. Spell checker đã được chạy trên text filed đó nên vô tình gửi cookie mà bạn ấy đã copy lên. Cốc Cốc không cố tình làm điều đó. Tuy nhiên, việc để spell checker chạy trên một text filed ẩn là một bug của Cốc Cốc. Chúng tôi sẽ fix trong bản release tới.

    2. Tính năng spell check của Cốc Cốc có gửi mọi thông tin của người dùng về cho Cốc Cốc?

    Để phục vụ cho tính năng spell checker, chúng tôi bắt buộc phải gửi những gì bạn nhập vào text field lên server. Server sẽ kiểm tra và trả kết quả gợi ý trở lại cho browser. Dữ liệu gửi lên là vô danh (anonymous). Chúng tôi không thể biết chính xác ai đã gửi dữ liệu lên. Đấy là thiết kế bình thường cho một online service nào.

    Google cũng thiết kế tính năng spell checker như vậy. Bạn có thể xem: https://www.google.com/intl/en/chrome/browser/privacy/whitepaper.html#spelling

    Tuy nhiên chúng tôi biết đây là dữ liệu nhạy cảm, do đó từ bản 68 (released vào tháng 12/2017), chúng tôi đã tiến hành mã hoá nó. Điều này khiến dữ liệu của bạn được bảo đảm hơn bao giờ hết.
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  6. nanocurcumin

    nanocurcumin New Member

    Tham gia: Thứ ba
    Bài viết: 1
    Đã được thích: 0
    Điểm thành tích:
    1
    thôi, cạch mặt cóc cóc ra từ nay
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  7. Micky

    Micky New Member

    Tham gia: Thứ tư
    Bài viết: 1
    Đã được thích: 0
    Điểm thành tích:
    1
    Theo mình, người hack sử dụng trình duyệt Cc để làm việc đó.
    Bản chất CC khi sử dụng sẽ VPN về máy chủ và đi ra ngoài, đây là lý do FW khó chặn url khi clients sử dụng CC.
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan