Hacker có thể đăng nhập tài khoản Google không cần mật khẩu

Tội phạm mạng có thể truy cập tài khoản Google của người dùng thông qua lỗ hổng cookie mà không cần biết mật khẩu.

Công ty bảo mật CloudSEK vừa công bố nghiên cứu về một dạng phần mềm độc hại sử dụng cookie để truy cập trái phép dữ liệu riêng tư của người dùng. Các nhóm hacker đang liên tục đào sâu phương pháp này trong khi Google chưa đưa ra biện pháp khắc phục triệt để.

Cách thức tấn công bắt đầu được một hacker hé lộ hồi tháng 10/2023 trên Telegram. Trong đó, người này chỉ ra cách xâm nhập tài khoản Google thông qua lỗ hổng cookie. Các trang web và trình duyệt thường dùng cookie nhằm ghi nhớ hành vi của người dùng, từ đó cải thiện trải nghiệm Internet.

Có nhiều loại cookie khác nhau, trong đó cookie xác thực của Google hỗ trợ người dùng truy cập tài khoản mà không phải đăng nhập liên tục. Hacker đã tìm ra lỗ hổng trong cơ chế này để loại bỏ quy trình xác thực hai yếu tố, cho phép chúng có thể vào các tài khoản Google của người dùng mà không cần biết mật khẩu.

Hacker có thể đăng nhập tài khoản Google không cần mật khẩu

Một số ứng dụng của Google trên điện thoại. Ảnh: Khương Nha

Sau khi đảo ngược các đoạn mã và phân tích, chuyên gia của CloudSEK đánh giá đây là hình thức khai thác tinh vi. Để làm được điều này, tin tặc không chỉ đào sâu về bảo mật mà còn hiểu rõ về cơ chế xác thực của Google.

"Đáng báo động, việc khai thác lỗ hổng họat động hiệu quả ngay khi người dùng vừa đặt lại mật khẩu. Nạn nhân có thể bị theo dõi trong thời gian dài, ít bị phát hiện", CloudSEK nhấn mạnh về độ nghiêm trọng của lỗ hổng.

Theo các chuyên gia, hình thức tấn công mới cho thấy tin tặc ngày càng tinh vi, có xu hướng ẩn mình, tìm kiếm những phương pháp mang tính hiệu quả lâu dài, khó bị phát hiện hơn. "Điều này là hồi chuông cảnh báo về việc cần thiết phải giám sát các lỗ hổng kỹ thuật liên tục. Các công ty cũng phải xác định lại vai trò của chuyên gia phân tích rủi ro để chuẩn bị cho những mô hình tấn công mới của tin tặc", Pavan Karthick M, nhà nghiên cứu của CloudSEK Pavan Karthick, nói.

Google Chrome hiện chiếm khoảng 60% thị phần trình duyệt Internet. Theo Independent, công ty đang trong quá trình ngăn chặn cookie của bên thứ ba. Với lỗ hổng mới, Google cho biết đang tăng cường biện pháp kỹ thuật để có thể phát hiện tài khoản bị đăng nhập trái phép bằng lỗ hổng bảo mật trên.

"Người dùng nên liên tục thực hiện các hướng dẫn để xóa phần mềm độc hại được cảnh báo trên máy tính. Chúng tôi khuyến cáo nên bật chế độ trình duyệt web an toàn nâng cao khi dùng Chrome để hạn chế tối đa việc tải về và truy cập phải phần mềm độc hại", Google nói.

Theo CloudSEK, trong lúc chờ giải pháp đầy đủ từ Google, người dùng nên đăng xuất tất cả tài khoản, hồ sơ hiện có trên trình duyệt nếu nghi ngờ bị tấn công. Sau đó đổi mật khẩu và đăng nhập lại. Việc này không đảm bảo an toàn tuyệt đối trước hình thức tấn công mới nhưng cũng tạo ra rào cản đáng kể với tin tặc khi muốn đăng nhập trái phép tài khoản người dùng.

Theo VNE

Đọc thêm

Khắc phục hao pin trên iOS 27 đơn giản

Khắc phục hao pin trên iOS 27 đơn giản

Sau khi cập nhật iOS 27, nhiều iPhone gặp tình trạng hao pin nhanh. Hãy thử ngay các cách khắc phục dưới đây để cải thiện thời lượng pin và dùng máy ổn định hơn.
Galaxy S26 FE lộ diện

Galaxy S26 FE lộ diện

Hình ảnh và thông số kỹ thuật của Samsung Galaxy S26 FE vừa rò rỉ, hé lộ thay đổi về thiết kế và cấu hình.
Người dùng nhiều sim phải xác thực tất cả các số đang sử dụng

Người dùng nhiều sim phải xác thực tất cả các số đang sử dụng

Trong lộ trình triển khai các quy định mới về quản lý viễn thông, hàng loạt thuê bao di động đang bước vào giai đoạn rà soát và xác thực thông tin bắt buộc. Đáng chú ý, việc xác thực hiện nay không chỉ giới hạn ở một số điện thoại chính mà yêu cầu người dân phải xác thực cả số thuê bao đang sở hữu nhằm bảo vệ quyền lợi.
Facebook bắt đầu thu phí

Facebook bắt đầu thu phí

Không phải chặn quảng cáo, các gói trả phí mới trên Instagram, Facebook và WhatsApp bổ sung nhiều tính năng nâng cao.
Lý do người dùng từ bỏ Microsoft Word

Lý do người dùng từ bỏ Microsoft Word

Microsoft Word vẫn là phần mềm soạn thảo phổ biến nhất thế giới, song ngày càng nhiều người dùng cho rằng nó gây ra phiền toái hơn hỗ trợ công việc.
Các đổi mật khẩu Wi-Fi chỉ trong tích tắc

Các đổi mật khẩu Wi-Fi chỉ trong tích tắc

Wi-Fi chậm, dễ mất kết nối hay có người lạ dùng là lúc bạn nên đổi mật khẩu để mạng ổn định hơn. Dưới đây là cách đổi Wi-Fi bằng điện thoại đơn giản, nhanh chóng.
Xin chào,
Tôi là Chatbot của
Báo Hà Tĩnh
Hãy hỏi tôi bất kỳ điều gì bạn cần biết về
Báo Hà Tĩnh nhé. Tôi sẵn sàng hỗ trợ!