VaultJacking là một kỹ thuật phishing mới nhắm vào Google Password Manager, cho phép kẻ tấn công chiếm toàn bộ vault đã đồng bộ chỉ với một PIN 6 chữ số bị thu thập. Đây là một mối đe dọa mạng đã được trình diễn hoàn chỉnh theo luồng tấn công end-to-end, không phải giả thuyết.
VaultJacking Và Rủi Ro Từ Cơ Chế Đồng Bộ Credential
Điểm cốt lõi của VaultJacking là lợi dụng cách Google đồng bộ mật khẩu và passkey giữa các thiết bị đăng nhập cùng một tài khoản. Khi nạn nhân bị lừa nhập Google Password Manager PIN trên một trang đăng nhập giả, mã PIN đó trở thành khóa chính để mở vault đã đồng bộ.
Hệ quả là mọi saved password, stored passkey và credential của dịch vụ bên thứ ba đều có thể bị truy xuất từ hạ tầng do kẻ tấn công kiểm soát. Kỹ thuật này được mô tả trong nghiên cứu của Phishu trong khuôn khổ mô phỏng đối thủ PhishU, với phân tích chi tiết về cách VaultJacking vận hành trong chuỗi phishing và đồng bộ hóa credential.
Cách Thức Hoạt Động Của VaultJacking
Google Password Manager mã hóa dữ liệu bằng khóa gắn với Security Level Secret, và secret này được bảo vệ bởi GPM PIN 6 chữ số. Khi nạn nhân nhập đúng PIN vào trang phishing được ngụy trang giống prompt thật của Google, attacker có thể đăng ký một thiết bị mới trong miền bảo mật của nạn nhân.
Thành phần sync-dup trong khung PhishU sau đó khởi chạy một phiên Chrome mới, dùng PIN đã thu thập cùng một passkey do attacker kiểm soát để xác thực từ hạ tầng operator. Sau đó, nó tải về toàn bộ mật khẩu và passkey đã đồng bộ trong vault.
Kỹ thuật này đặc biệt nguy hiểm vì vượt qua cơ chế Live Device Found Session Credentials. Tức là sau khi cookie phiên ban đầu hết hạn, luồng đồng bộ vẫn có thể tiếp tục thông qua hạ tầng của attacker.
Lỗ Hổng CVE Và Bản Chất Thiết Kế
VaultJacking không được mô tả như một lỗ hổng CVE riêng lẻ hay một lỗi cần vá ngay từ nhà cung cấp. Theo phân tích được công bố, đây là một accepted-design trade-off trong kiến trúc đồng bộ credential. Vì vậy, trọng tâm phòng thủ nằm ở kiểm soát quy trình xác thực, phân tách profile và giám sát lớp sync, thay vì chờ một bản vá bảo mật cụ thể.
Độc giả có thể tham khảo thêm các khuyến nghị và nền tảng liên quan qua tài liệu công khai trên NVD và báo cáo kỹ thuật gốc từ Phishu.
Tác Động Đến Hệ Thống
Trong mô hình tấn công này, không cần cài malware trước trên thiết bị nạn nhân. Cũng không cần foothold sẵn có trong hệ thống. Chỉ cần một lần phishing thành công để lấy được PIN là toàn bộ vault có thể bị xâm phạm.
Điều đáng chú ý là VaultJacking có thể làm lộ cả dữ liệu cá nhân lẫn dữ liệu công việc nếu người dùng dùng chung một Chrome profile. Khi attacker đánh cắp luồng session của một profile phục vụ công việc, vault cá nhân lưu cùng profile cũng bị kéo theo.
Trong phạm vi kỹ thuật, đây là một dạng data breach ở lớp credential sync, dẫn đến nguy cơ rò rỉ dữ liệu, đánh cắp dữ liệu và chiếm quyền truy cập vào các dịch vụ phụ thuộc mật khẩu hoặc passkey.
Điểm Yếu Trong Passkey Sync
Google Password Manager đồng bộ passkey và mật khẩu trên mọi thiết bị đăng nhập cùng tài khoản. Theo phân tích, passkey trong Chrome 359 trở lên ghi các byte khóa riêng vào cơ sở dữ liệu cục bộ Passkeys SQLite. Các byte thô này đi theo gói đồng bộ, nên ngay cả passkey được hỗ trợ bởi phần cứng cũng có thể bị khôi phục trong luồng tấn công này.
Vì không có rate limiting hay yêu cầu nhập lại PIN sau khi PIN đã bị thu thập, VaultJacking tạo ra một điểm gãy đơn lẻ: một credential bị lộ dẫn tới toàn bộ vault bị chiếm dụng.
IOC Và Dấu Hiệu Quan Sát
Tài liệu gốc không cung cấp IOC theo dạng hash, domain, IP hay filename của malware. Tuy nhiên, các dấu hiệu vận hành có thể quan sát gồm:
- Thông báo thêm passkey mới trên tài khoản Google.
- Thông báo đăng nhập mới trên Windows hoặc thiết bị lạ.
- Hoạt động đăng ký thiết bị mới trong miền bảo mật của tài khoản.
- Luồng xác thực phát sinh từ hạ tầng không thuộc thiết bị người dùng.
Biện Pháp Giảm Thiểu Rủi Ro Bảo Mật
Phishu khuyến nghị không dùng chung Chrome profile cho credential cá nhân và công việc. Đây là bước giảm thiểu quan trọng vì một phishing nhắm vào profile công việc có thể kéo theo vault cá nhân.
Giải pháp tiếp theo là dùng profile Chrome riêng cho credential cá nhân và passkey, tách khỏi môi trường làm việc. Với hệ thống không phụ thuộc vào Google Sync, có thể cân nhắc on-premises password manager để loại bỏ bề mặt tấn công của cơ chế đồng bộ này.
Quản trị viên cũng cần tăng cường giám sát lớp policy và security-domain governance. VaultJacking cho thấy mối nguy nằm ở tầng đồng bộ và kiểm soát xác thực, không chỉ ở thiết bị đầu cuối.
Khuyến Nghị Vận Hành
- Không lưu mật khẩu cá nhân trong Chrome profile phục vụ công việc.
- Tách biệt profile cho credential và passkey theo từng ngữ cảnh sử dụng.
- Giám sát các sự kiện xác thực bất thường, đặc biệt là đăng ký passkey mới.
- Xác minh mọi cảnh báo như new passkey added hoặc new sign-in.
- Rà soát lại chính sách đồng bộ credential trong môi trường doanh nghiệp.
Phishing Là Vector Khởi Tạo
Điểm khởi đầu của VaultJacking là một trang phishing được tạo để giống prompt đăng nhập thật của Google. Khi người dùng nhập GPM PIN, attacker có thể mở khóa Security Level Secret trên hạ tầng của mình và giải mã vault đã đồng bộ.
Đây là lý do kỹ thuật khiến phishing trong kịch bản này có sức công phá lớn hơn các chiến dịch lấy cắp mật khẩu thông thường: một lần thu thập PIN có thể dẫn đến chiếm quyền điều khiển toàn bộ kho credential đã đồng bộ.
Tài Liệu Tham Khảo Kỹ Thuật
Báo cáo gốc mô tả kỹ thuật này có thể xem tại: Phishu VaultJacking Report.
