Hacker có thể đăng nhập tài khoản Google không cần mật khẩu

Tội phạm mạng có thể truy cập tài khoản Google của người dùng thông qua lỗ hổng cookie mà không cần biết mật khẩu.

Công ty bảo mật CloudSEK vừa công bố nghiên cứu về một dạng phần mềm độc hại sử dụng cookie để truy cập trái phép dữ liệu riêng tư của người dùng. Các nhóm hacker đang liên tục đào sâu phương pháp này trong khi Google chưa đưa ra biện pháp khắc phục triệt để.

Cách thức tấn công bắt đầu được một hacker hé lộ hồi tháng 10/2023 trên Telegram. Trong đó, người này chỉ ra cách xâm nhập tài khoản Google thông qua lỗ hổng cookie. Các trang web và trình duyệt thường dùng cookie nhằm ghi nhớ hành vi của người dùng, từ đó cải thiện trải nghiệm Internet.

Có nhiều loại cookie khác nhau, trong đó cookie xác thực của Google hỗ trợ người dùng truy cập tài khoản mà không phải đăng nhập liên tục. Hacker đã tìm ra lỗ hổng trong cơ chế này để loại bỏ quy trình xác thực hai yếu tố, cho phép chúng có thể vào các tài khoản Google của người dùng mà không cần biết mật khẩu.

Hacker có thể đăng nhập tài khoản Google không cần mật khẩu

Một số ứng dụng của Google trên điện thoại. Ảnh: Khương Nha

Sau khi đảo ngược các đoạn mã và phân tích, chuyên gia của CloudSEK đánh giá đây là hình thức khai thác tinh vi. Để làm được điều này, tin tặc không chỉ đào sâu về bảo mật mà còn hiểu rõ về cơ chế xác thực của Google.

"Đáng báo động, việc khai thác lỗ hổng họat động hiệu quả ngay khi người dùng vừa đặt lại mật khẩu. Nạn nhân có thể bị theo dõi trong thời gian dài, ít bị phát hiện", CloudSEK nhấn mạnh về độ nghiêm trọng của lỗ hổng.

Theo các chuyên gia, hình thức tấn công mới cho thấy tin tặc ngày càng tinh vi, có xu hướng ẩn mình, tìm kiếm những phương pháp mang tính hiệu quả lâu dài, khó bị phát hiện hơn. "Điều này là hồi chuông cảnh báo về việc cần thiết phải giám sát các lỗ hổng kỹ thuật liên tục. Các công ty cũng phải xác định lại vai trò của chuyên gia phân tích rủi ro để chuẩn bị cho những mô hình tấn công mới của tin tặc", Pavan Karthick M, nhà nghiên cứu của CloudSEK Pavan Karthick, nói.

Google Chrome hiện chiếm khoảng 60% thị phần trình duyệt Internet. Theo Independent, công ty đang trong quá trình ngăn chặn cookie của bên thứ ba. Với lỗ hổng mới, Google cho biết đang tăng cường biện pháp kỹ thuật để có thể phát hiện tài khoản bị đăng nhập trái phép bằng lỗ hổng bảo mật trên.

"Người dùng nên liên tục thực hiện các hướng dẫn để xóa phần mềm độc hại được cảnh báo trên máy tính. Chúng tôi khuyến cáo nên bật chế độ trình duyệt web an toàn nâng cao khi dùng Chrome để hạn chế tối đa việc tải về và truy cập phải phần mềm độc hại", Google nói.

Theo CloudSEK, trong lúc chờ giải pháp đầy đủ từ Google, người dùng nên đăng xuất tất cả tài khoản, hồ sơ hiện có trên trình duyệt nếu nghi ngờ bị tấn công. Sau đó đổi mật khẩu và đăng nhập lại. Việc này không đảm bảo an toàn tuyệt đối trước hình thức tấn công mới nhưng cũng tạo ra rào cản đáng kể với tin tặc khi muốn đăng nhập trái phép tài khoản người dùng.

Theo VNE

Đọc thêm

Cách khắc phục Messenger lỗi bong bóng chat

Cách khắc phục Messenger lỗi bong bóng chat

Bong bóng chat trên Messenger là một tính năng tiện lợi, giúp bạn không bỏ lỡ bất kỳ tin nhắn nào dù đang sử dụng ứng dụng khác. Nếu gặp lỗi không hiển thị, cần có cách khắc phục để đưa tính năng này hoạt động trở lại.
iPhone 17 bắt đầu được sản xuất

iPhone 17 bắt đầu được sản xuất

Foxconn Ấn Độ đã bắt đầu thử nghiệm dây chuyền thử nghiệm sớm cho thế hệ iPhone 17, trước khi sản xuất hàng loạt kịp thời cho đợt ra mắt vào tháng 9 sắp tới.
AI đang thay con người "yêu nhau"

AI đang thay con người "yêu nhau"

Các ứng dụng hẹn hò đang sử dụng AI đề thu hút người dùng trở lại. Tuy nhiên, lạm dụng chatbot sẽ gây ra ảnh hưởng về lâu dài cho các mối quan hệ.
Bật AI nhưng đừng để "tắt não"

Bật AI nhưng đừng để "tắt não"

Khi mọi câu hỏi đều được AI trả lời, não bộ của con người có nguy cơ bị "lười biếng". Nếu chúng ta thiếu tỉnh táo, có thể sẽ dần đánh mất đi khả năng sáng tạo và tư duy độc lập.
Giá iPhone 17 có thể tăng mạnh

Giá iPhone 17 có thể tăng mạnh

Giá iPhone 17 có thể tăng mạnh trong năm nay, không chỉ do nâng cấp tính năng mà còn chịu tác động từ chính trị và nguy cơ áp thuế từ chính phủ Mỹ.
Cảnh giác “bẫy độc” từ các trang web lậu

Cảnh giác “bẫy độc” từ các trang web lậu

Thói quen sử dụng các trang web “lậu” - những nền tảng chia sẻ nội dung không có bản quyền - có thể sẽ phải “trả giá đắt” nếu vô tình click vào những quảng cáo trá hình.
Khi nào iPhone gập ra mắt?

Khi nào iPhone gập ra mắt?

Apple được cho đã bước vào giai đoạn phát triển nguyên mẫu iPhone màn hình gập, dự kiến ra mắt vào cuối năm 2026.
Tin vui cho người chờ mua iPhone 17 Pro Max

Tin vui cho người chờ mua iPhone 17 Pro Max

Trong một bài đăng mới nhất trên mạng xã hội Weibo, leaker Instant Digital cho biết iPhone 17 Pro Max sẽ trở thành chiếc iPhone được trang bị viên pin dung lượng cao nhất từ trước đến nay.
Cách sửa lỗi micro trên iPhone nhanh chóng

Cách sửa lỗi micro trên iPhone nhanh chóng

Mẹo khắc phục lỗi micro trên iPhone giúp bạn gọi điện, ghi âm rõ nét như ban đầu: kiểm tra cài đặt, vệ sinh mic, khởi động lại máy hoặc cập nhật iOS.
Cách xuất file Canva sang PDF đơn giản

Cách xuất file Canva sang PDF đơn giản

Xuất file PDF từ Canva là thao tác cần thiết khi thiết kế tài liệu, thuyết trình. Hướng dẫn dưới đây giúp bạn lưu file đúng chuẩn, đảm bảo chất lượng.
Ông Trump tìm được chủ mới cho TikTok

Ông Trump tìm được chủ mới cho TikTok

Tổng thống Mỹ Donald Trump, trong một cuộc phỏng vấn, cho biết ông sẽ tiết lộ danh tính một nhóm người "rất giàu có" sẽ mua lại TikTok trong hai tuần tới.