WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Tiện ích mở rộng AVG trên Chrome gây lộ lọt dữ liệu người dùng
Tiện ích mở rộng trên Chrome do AVG AntiVirustự động cài đặt trên hệ thống người dùng gây nguy cơ lộ lọt lịch sử duyệt web và các thông tin cá nhân khác trên Internet. Đây là phát hiện của nhà nghiên cứu Tavis Ormandy thuộc nhóm Google Project Zero.
Theo báo cáo của Ormandy, tiện ích Chrome này, được gọi là AVG Web TuneUp được cài đặt trên hệ thống người dùng cuối cùng với phần mềm diệt virus của AVG. Tiện ích gây ra nhiều lỗ hổng cho trình duyệt, dẫn tới việc hơn 9 triệu người dùng rơi vào nguy hiểm.
Theo giải thích của nhà nghiên cứu, tiện ích này được thiết kế để bổ sung số lượng lớn các giao diện lập trình ứng dụng (API) JavaScript cho Chrome với mục đích chiếm dụng cài đặt tìm kiếm và trang tab mới. Tuy nhiên, nhiều API trong số đó bị lỗi. Ngoài ra, Ormandy lưu ý quá trình cài đặt tiện ích này cũng rất phức tạp vì nó có thể qua mặt các cơ chế kiểm duyệt mã độc của Chrome, vốn được thiết kế nhằm ngăn chặn việc lạm dụng API của tiện ích.
Trong số các lỗ hổng của AVG Web TuneUp, nhà nghiên cứu đề cập đến lỗi XSS (Cross-Site Scripting) trong API điều khiển, cho phép website thực thi ngôn ngữ lập trình trên các tên miền khác. Theo Ormandy, website có thể đọc được các email từ địa chỉ mail.google.com và thực hiện các hành vi khác bởi lỗ hổng ở mức cực nghiêm trọng.
Nhà nghiên cứu cũng cho biết tiện ích API khiến cho lịch sử duyệt web của người dùng bị lộ trên Internet. Ormandy lưu ý tiện ích và các API có lỗi cũng có thể được sử dụng để thực thi mã từ xa nếu kẻ xấu có đủ thời gian và kiên nhẫn.
Vài tuần nay, Ormandy phối hợp cùng AVG giải quyết các lỗi trên tiện ích, đồng thời tạo lập mã khai thác đánh cắp cookie từ avg.com. Một bản vá vốn cũng đã được xây dựng, tuy nhiên không hoàn thiện do chỉ kiểm tra xem một thông điệp chứa chuỗi .avg.com hay không.
Ormandy cho biết tiện ích này vẫn cho phép tin tặc tấn công man-in-the-middle (MitM) để chèn JavaScript vào nguồn *bất kỳ*, thậm chí là nguồn an toàn (trang HTTPS), do vậy bảo vệ SSL với những ai sử dụng tiện ích này là vô nghĩa. Hơn thế nữa, nhà nghiên cứu cũng giải thích bất kỳ XSS trên avg.com đều có thể được sử dụng để tấn công người dùng Chrome.
Tiện ích AVG Web TuneUp Chrome phiên bản 4.2.5.169 xử lý được lỗi này. Tuy nhiên, Google đã vô hiệu hóa cài đặt trực tiếp cho tiện ích này. Điều đó có nghĩa là người dùng cần truy nhập vào kho và tải phiên bản đã cập nhật một cách thủ công. Đồng thời, Google cũng đang tìm hiểu về những xung đột về mặt chính sách của hãng.
Tháng trước, hãng enSilo tiết lộ lỗ hổng nghiêm trọng được tìm thấy trong AVG Internet Security 2015, có thể bị khai thác bởi tin tặc nhằm qua mặt các cơ chế bảo vệ Windows.
Nguồn: Security Week
Theo báo cáo của Ormandy, tiện ích Chrome này, được gọi là AVG Web TuneUp được cài đặt trên hệ thống người dùng cuối cùng với phần mềm diệt virus của AVG. Tiện ích gây ra nhiều lỗ hổng cho trình duyệt, dẫn tới việc hơn 9 triệu người dùng rơi vào nguy hiểm.
Theo giải thích của nhà nghiên cứu, tiện ích này được thiết kế để bổ sung số lượng lớn các giao diện lập trình ứng dụng (API) JavaScript cho Chrome với mục đích chiếm dụng cài đặt tìm kiếm và trang tab mới. Tuy nhiên, nhiều API trong số đó bị lỗi. Ngoài ra, Ormandy lưu ý quá trình cài đặt tiện ích này cũng rất phức tạp vì nó có thể qua mặt các cơ chế kiểm duyệt mã độc của Chrome, vốn được thiết kế nhằm ngăn chặn việc lạm dụng API của tiện ích.
Trong số các lỗ hổng của AVG Web TuneUp, nhà nghiên cứu đề cập đến lỗi XSS (Cross-Site Scripting) trong API điều khiển, cho phép website thực thi ngôn ngữ lập trình trên các tên miền khác. Theo Ormandy, website có thể đọc được các email từ địa chỉ mail.google.com và thực hiện các hành vi khác bởi lỗ hổng ở mức cực nghiêm trọng.
Nhà nghiên cứu cũng cho biết tiện ích API khiến cho lịch sử duyệt web của người dùng bị lộ trên Internet. Ormandy lưu ý tiện ích và các API có lỗi cũng có thể được sử dụng để thực thi mã từ xa nếu kẻ xấu có đủ thời gian và kiên nhẫn.
Vài tuần nay, Ormandy phối hợp cùng AVG giải quyết các lỗi trên tiện ích, đồng thời tạo lập mã khai thác đánh cắp cookie từ avg.com. Một bản vá vốn cũng đã được xây dựng, tuy nhiên không hoàn thiện do chỉ kiểm tra xem một thông điệp chứa chuỗi .avg.com hay không.
Ormandy cho biết tiện ích này vẫn cho phép tin tặc tấn công man-in-the-middle (MitM) để chèn JavaScript vào nguồn *bất kỳ*, thậm chí là nguồn an toàn (trang HTTPS), do vậy bảo vệ SSL với những ai sử dụng tiện ích này là vô nghĩa. Hơn thế nữa, nhà nghiên cứu cũng giải thích bất kỳ XSS trên avg.com đều có thể được sử dụng để tấn công người dùng Chrome.
Tiện ích AVG Web TuneUp Chrome phiên bản 4.2.5.169 xử lý được lỗi này. Tuy nhiên, Google đã vô hiệu hóa cài đặt trực tiếp cho tiện ích này. Điều đó có nghĩa là người dùng cần truy nhập vào kho và tải phiên bản đã cập nhật một cách thủ công. Đồng thời, Google cũng đang tìm hiểu về những xung đột về mặt chính sách của hãng.
Tháng trước, hãng enSilo tiết lộ lỗ hổng nghiêm trọng được tìm thấy trong AVG Internet Security 2015, có thể bị khai thác bởi tin tặc nhằm qua mặt các cơ chế bảo vệ Windows.
Nguồn: Security Week