Các lỗ hổng bảo mật nghiêm trọng đã được phát hiện trong các tiện ích mở rộng Chrome phổ biến, đặt hàng triệu người dùng vào rủi ro. Cụ thể, các tiện ích SiderAI và MaxAI, được thiết kế để tăng cường trải nghiệm duyệt web thông qua các tính năng tóm tắt và tự động hóa dựa trên AI, đã bộc lộ những điểm yếu cho phép kẻ tấn công xâm phạm hoàn toàn các phiên duyệt web. Các nhà nghiên cứu bảo mật từ Rebora Security đã công bố các lỗ hổng này, được đặt tên là “Spyder” và “MaXSS”, nhấn mạnh mức độ nghiêm trọng của mối đe dọa mạng.
Chi tiết về lỗ hổng Spyder và MaXSS
Các lỗ hổng này bắt nguồn từ việc xử lý không an toàn trong giao tiếp giữa các trang web và các thành phần nội bộ của tiện ích mở rộng, đặc biệt là các content scripts. Trong kiến trúc của tiện ích mở rộng Chrome, content scripts đóng vai trò trung gian quan trọng giữa nội dung trang web và các tiến trình chạy nền của tiện ích.
Cơ chế tấn công trên MaxAI
Trong trường hợp của MaxAI, các nhà nghiên cứu đã chứng minh rằng các trang web độc hại có thể gửi các thông điệp được chế tạo đặc biệt đến content script của tiện ích. Những thông điệp này sau đó được chuyển tiếp đến tiến trình nền mà không trải qua quá trình xác minh đầu vào đầy đủ. Điều này cho phép kẻ tấn công thực thi các hành động có đặc quyền.
Các hành động có thể bị lạm dụng bao gồm:
- Mở các tab ẩn.
- Chụp ảnh màn hình.
- Tương tác với tài khoản người dùng.
Một kịch bản tấn công điển hình đã cho thấy khả năng truy cập vào các phiên Gmail và Google Calendar, đồng thời trích xuất thông tin nhạy cảm mà không có sự nhận thức của người dùng. Điều này minh chứng cho khả năng xâm nhập trái phép vào các dịch vụ trực tuyến.
Cơ chế tấn công trên SiderAI
Tương tự, lỗ hổng Spyder trong SiderAI cho phép kẻ tấn công mô phỏng các tương tác của người dùng, chẳng hạn như nhấp chuột và nhập liệu, trên các phiên web được nhúng. Bằng cách lạm dụng khả năng này, một trang web độc hại có thể âm thầm mở các dịch vụ như Google Gemini.
Kẻ tấn công sau đó có thể trích xuất dữ liệu cuộc trò chuyện AI riêng tư và rò rỉ chúng ra bên ngoài. Đây là một sự phá vỡ nghiêm trọng các ranh giới tin cậy của trình duyệt và gây ra rủi ro bảo mật lớn cho người dùng.
Ảnh hưởng hệ thống và dữ liệu
Tác động của những lỗ hổng này là rất sâu rộng. Kẻ tấn công có thể:
- Đọc email người dùng.
- Đánh cắp các token xác thực.
- Thao tác với tài liệu.
- Thực thi các hành động thay mặt người dùng trên hầu hết mọi trang web.
Trong một số trường hợp, các quyền mà các tiện ích này yêu cầu có thể cho phép truy cập vào các tệp cục bộ trên hệ điều hành. Một trong những khía cạnh đáng lo ngại nhất là việc khai thác các lỗ hổng này không yêu cầu bất kỳ tương tác nào từ người dùng ngoài việc truy cập vào một trang web độc hại. Điều này làm cho vector tấn công trở nên vừa tàng hình vừa có khả năng mở rộng cao.
Báo cáo và Khuyến nghị
Các nhà nghiên cứu Rebora đã báo cáo các vấn đề này cho các nhà cung cấp tiện ích mở rộng, tuy nhiên, đã không nhận được phản hồi. Do mức độ nghiêm trọng, các phát hiện đã được công khai. Google, với vai trò nhà điều hành Chrome Web Store, cũng đã được thông báo.
Người dùng được khuyến cáo mạnh mẽ kiểm tra xem SiderAI hoặc MaxAI có được cài đặt trong trình duyệt của họ hay không và gỡ cài đặt chúng ngay lập tức nếu có. Sự cố này nhấn mạnh những rủi ro ngày càng tăng liên quan đến các tiện ích mở rộng trình duyệt tích hợp AI. Nó cho thấy rằng an ninh điểm cuối đang trở thành một chiến trường quan trọng trong bối cảnh mối đe dọa đang phát triển.
Để tìm hiểu thêm về các lỗ hổng bảo mật và cách chúng có thể bị khai thác, bạn có thể tham khảo các báo cáo chi tiết và phân tích kỹ thuật. Một nguồn thông tin uy tín để theo dõi các cảnh báo và phân tích về lỗ hổng CVE mới nhất là National Vulnerability Database (NVD).
