Hacker có thể đăng nhập tài khoản Google không cần mật khẩu

Tội phạm mạng có thể truy cập tài khoản Google của người dùng thông qua lỗ hổng cookie mà không cần biết mật khẩu.

Công ty bảo mật CloudSEK vừa công bố nghiên cứu về một dạng phần mềm độc hại sử dụng cookie để truy cập trái phép dữ liệu riêng tư của người dùng. Các nhóm hacker đang liên tục đào sâu phương pháp này trong khi Google chưa đưa ra biện pháp khắc phục triệt để.

Cách thức tấn công bắt đầu được một hacker hé lộ hồi tháng 10/2023 trên Telegram. Trong đó, người này chỉ ra cách xâm nhập tài khoản Google thông qua lỗ hổng cookie. Các trang web và trình duyệt thường dùng cookie nhằm ghi nhớ hành vi của người dùng, từ đó cải thiện trải nghiệm Internet.

Có nhiều loại cookie khác nhau, trong đó cookie xác thực của Google hỗ trợ người dùng truy cập tài khoản mà không phải đăng nhập liên tục. Hacker đã tìm ra lỗ hổng trong cơ chế này để loại bỏ quy trình xác thực hai yếu tố, cho phép chúng có thể vào các tài khoản Google của người dùng mà không cần biết mật khẩu.

Hacker có thể đăng nhập tài khoản Google không cần mật khẩu

Một số ứng dụng của Google trên điện thoại. Ảnh: Khương Nha

Sau khi đảo ngược các đoạn mã và phân tích, chuyên gia của CloudSEK đánh giá đây là hình thức khai thác tinh vi. Để làm được điều này, tin tặc không chỉ đào sâu về bảo mật mà còn hiểu rõ về cơ chế xác thực của Google.

"Đáng báo động, việc khai thác lỗ hổng họat động hiệu quả ngay khi người dùng vừa đặt lại mật khẩu. Nạn nhân có thể bị theo dõi trong thời gian dài, ít bị phát hiện", CloudSEK nhấn mạnh về độ nghiêm trọng của lỗ hổng.

Theo các chuyên gia, hình thức tấn công mới cho thấy tin tặc ngày càng tinh vi, có xu hướng ẩn mình, tìm kiếm những phương pháp mang tính hiệu quả lâu dài, khó bị phát hiện hơn. "Điều này là hồi chuông cảnh báo về việc cần thiết phải giám sát các lỗ hổng kỹ thuật liên tục. Các công ty cũng phải xác định lại vai trò của chuyên gia phân tích rủi ro để chuẩn bị cho những mô hình tấn công mới của tin tặc", Pavan Karthick M, nhà nghiên cứu của CloudSEK Pavan Karthick, nói.

Google Chrome hiện chiếm khoảng 60% thị phần trình duyệt Internet. Theo Independent, công ty đang trong quá trình ngăn chặn cookie của bên thứ ba. Với lỗ hổng mới, Google cho biết đang tăng cường biện pháp kỹ thuật để có thể phát hiện tài khoản bị đăng nhập trái phép bằng lỗ hổng bảo mật trên.

"Người dùng nên liên tục thực hiện các hướng dẫn để xóa phần mềm độc hại được cảnh báo trên máy tính. Chúng tôi khuyến cáo nên bật chế độ trình duyệt web an toàn nâng cao khi dùng Chrome để hạn chế tối đa việc tải về và truy cập phải phần mềm độc hại", Google nói.

Theo CloudSEK, trong lúc chờ giải pháp đầy đủ từ Google, người dùng nên đăng xuất tất cả tài khoản, hồ sơ hiện có trên trình duyệt nếu nghi ngờ bị tấn công. Sau đó đổi mật khẩu và đăng nhập lại. Việc này không đảm bảo an toàn tuyệt đối trước hình thức tấn công mới nhưng cũng tạo ra rào cản đáng kể với tin tặc khi muốn đăng nhập trái phép tài khoản người dùng.

Theo VNE

Đọc thêm

Khi nào iPhone gập ra mắt?

Khi nào iPhone gập ra mắt?

Apple được cho đã bước vào giai đoạn phát triển nguyên mẫu iPhone màn hình gập, dự kiến ra mắt vào cuối năm 2026.
Tin vui cho người chờ mua iPhone 17 Pro Max

Tin vui cho người chờ mua iPhone 17 Pro Max

Trong một bài đăng mới nhất trên mạng xã hội Weibo, leaker Instant Digital cho biết iPhone 17 Pro Max sẽ trở thành chiếc iPhone được trang bị viên pin dung lượng cao nhất từ trước đến nay.
Cách sửa lỗi micro trên iPhone nhanh chóng

Cách sửa lỗi micro trên iPhone nhanh chóng

Mẹo khắc phục lỗi micro trên iPhone giúp bạn gọi điện, ghi âm rõ nét như ban đầu: kiểm tra cài đặt, vệ sinh mic, khởi động lại máy hoặc cập nhật iOS.
Cách xuất file Canva sang PDF đơn giản

Cách xuất file Canva sang PDF đơn giản

Xuất file PDF từ Canva là thao tác cần thiết khi thiết kế tài liệu, thuyết trình. Hướng dẫn dưới đây giúp bạn lưu file đúng chuẩn, đảm bảo chất lượng.
Ông Trump tìm được chủ mới cho TikTok

Ông Trump tìm được chủ mới cho TikTok

Tổng thống Mỹ Donald Trump, trong một cuộc phỏng vấn, cho biết ông sẽ tiết lộ danh tính một nhóm người "rất giàu có" sẽ mua lại TikTok trong hai tuần tới.
Cách xóa tất cả lịch sử chat trên ChatGPT

Cách xóa tất cả lịch sử chat trên ChatGPT

Trước đây, để xóa lịch sử trò chuyện trên ChatGPT, bạn phải nhấn vào từng đoạn chat một cách thủ công, vừa mất thời gian lại tốn công sức nếu có nhiều cuộc trò chuyện.
Lý do AI của iPhone tốt hơn Android

Lý do AI của iPhone tốt hơn Android

Nhiều tính năng mới của trí tuệ nhân tạo của Apple hoạt động trên thiết bị hoặc đám mây bảo mật. Đây là lợi thế cạnh tranh so với các thiết bị Android.
Loạt tính năng AI mới của Apple

Loạt tính năng AI mới của Apple

Apple Intelligence sẽ hỗ trợ tiếng Việt vào cuối năm, thêm tính năng dịch trực tiếp, nhận dạng hình ảnh để tìm kiếm hoặc lấy thông tin, tạo hình với ChatGPT.
BlackBerry sắp trở lại

BlackBerry sắp trở lại

Một công ty Trung Quốc muốn hồi sinh mẫu smartphone BlackBerry Classic (Q20) với hệ điều hành Android và trang bị phần cứng hiện đại.
AI có hại cho trẻ em?

AI có hại cho trẻ em?

Trong bối cảnh AI tạo sinh ngày càng dễ tiếp cận, các chuyên gia và phụ huynh cần quan tâm nhiều hơn về tác động của chatbot AI lên tâm lý trẻ em.