Nguyễn Xuân Phúc » An Ninh - Quốc Phòng » Hacker News: Trình duyệt Brave chứa lỗ hổng đánh cắp thông tin đăng nhập người dùng

(Không gian mạng) - Một lỗ hổng trong trình duyệt Brave có thể bị khai thác bởi những kẻ tấn công để lừa người dùng truy cập vào một trang web độc hại giả mạo để đánh cắp thông tin đăng nhập hoặc để phát tán phần mềm độc hại và thực hiện các cuộc tấn công lừa đảo.

Là một dự án mã nguồn mở, Brave là trình duyệt có khả năng ngăn chặn quảng cáo, cải thiện tốc độ và bảo vệ sự riêng tư của người dùng.

111

Một nhà nghiên cứu an ninh đã phát hiện ra một lỗ hổng quan trọng trên Brave ở cả hai nền tảng iOS và Android, cho phép kẻ tấn công lừa người dùng truy cập vào một trang web độc hại giả mạo

Brave xem bảo mật là ưu tiên hàng đầu do đó trình duyệt chạy một chương trình tiền thưởng săn Bug trên nền tảng Hackerone. Aaditya Purani, một nhà nghiên cứu an ninh đã phát hiện ra một lỗ hổng quan trọng trên Brave ở cả hai nền tảng iOS và Android, cho phép kẻ tấn công lừa người dùng truy cập vào một trang web độc hại giả mạo.

Kẻ tấn công có thể tạo ra một mã HTML giả mạo thanh địa chỉ của trình duyệt Brave (bravespoof.html) trong File đính kèm, mã được thiết kế để yêu cầu người dùng nhập tên và mật khẩu. Cụ thể là dùng hàm f() trỏ đến https://facebook.com, đồng thời cài đặt thời gian cứ mỗi 10ms lại thực hiện hàm f() một lần.

Nói đơn giản, nạn nhân sẽ nhìn thấy một URL tìm kiếm quen thuộc nhưng nội dung không phải từ URL thực sự mà xuất phát từ kẻ tấn công. Từ đó, kẻ tấn công có thể thu được thông tin nhạy cảm hoặc lợi dụng URL để lây nhiễm malware và tấn công lừa đảo.

Phương Anh (dịch từ Hacker News)

Bài viết, video, hình ảnh đóng góp cho chuyên mục vui lòng gửi về [email protected]
Thích và chia sẻ bài này trên: