Cộng đồng mạng đang lan truyền thông tin về lỗ hổng có tên Covert Redirect tồn tại trong công cụ đăng nhập mã nguồn mở OAuth và OpenID được rất nhiều website sử dụng. Lỗ hổng này ảnh hưởng đến cả Google, Facebook, Microsoft, LinkedIn, PayPal, và một số công ty lớn khác.

Đầu giờ chiều nay, 5/5/2014, chia sẻ với ICTnews về cơ chế hoạt động của lỗ hổng bảo mật Covert Redirect thông qua cơ chế xác thực OpenID và OAuth, ông Ngô Tuấn Anh lấy ví dụ minh họa: Trên thực tế, một số website, diễn đàn đã cho phép người dùng đăng nhập bằng cách sử dụng tài khoản Facebook. Chẳng hạn như trang eBay cho phép người dùng có thể truy nhập bằng tài khoản eBay hoặc tài khoản Facebook. Theo cơ chế xác thực OpenID hoặc OAuth, nếu người dùng sử dụng tài khoản Facebook để đăng nhập eBay, sẽ có thông báo hỏi ý kiến xem có cho phép eBay truy cập thông tin Facebook hay không. Nếu đúng, Facebook sẽ tiến hành xác thực tài khoản và trả cho eBay thông tin xác thực tài khoản. Sau đó, eBay sẽ cho đăng nhập bằng tài khoản Facebook. Tuy nhiên, nếu giả sử eBay dính lỗ hổng Covert Redirect, tin tặc có thể can thiệp và lấy được những thông tin xác thực người dùng mà lẽ ra Facebook trả lại cho eBay.

Covert Redirect

Theo phân tích của một tờ báo mạng mới đây, với lỗ hổng Covert Redirect, hacker có thể gài mã độc ẩn dưới dạng một cửa sổ pop-up, hiện ra khi người dùng đăng nhập vào một website có lỗ hổng. Chẳng hạn như khi người dùng gõ địa chỉ Facebook, một cửa sổ pop-up hiện ra yêu cầu điền tên đăng nhập và mật khẩu. Nếu người dùng đưa thông tin vào thì những thông tin ấy sẽ "bí mật chuyển hướng" đến hacker. Thông thường, hacker hay sử dụng một đường link website giả mạo để lừa người dùng truy cập vào. Nhưng với lỗ hổng "Bí mật chuyển hướng", tin tặc có thể dùng chính địa chỉ website thật để moi thông tin mà không cần phải tạo ra một đường link giả mạo.

Nhưng khi trao đổi với ICTnews, ông Ngô Tuấn Anh khẳng định: "Tin tặc sẽ chỉ lấy được những thông tin công bố công khai như tài khoản Facebook, danh sách bạn bè, hoặc cùng lắm là viết được lên tường Facebook chứ không thể lấy được mật khẩu của người dùng Facebook".

Cũng theo Phó Chủ tịch phụ trách An ninh mạng Bkav, lỗ hổng Covert Redirect có thể ảnh hưởng tới người dùng song mức độ ảnh hưởng không bằng lỗ hổng Heartbleed. Bởi với Heartbleed, hacker có thể trực tiếp khai thác lỗ hổng trên máy chủ. Còn Covert Redirect chỉ có thể gây hại nếu hội đủ hai yếu tố gồm: người dùng bấm vào link xác thực trên tường Facebook để cho phép một website chấp nhận thông tin đăng nhập là thông tin tài khoản Facebook; và tin tặc tìm được những website được nhiều người tin dùng đã có lỗ hổng Covert Redirect.

Hiện các nhà cung cấp dịch vụ như Google, Facebook, Microsoft, LinkedIn, PayPal... vẫn đang xác minh mức độ ảnh hưởng của Covert Redirect, đồng thời thay đổi cơ chế xác thực để đảm bảo an toàn bảo mật hơn.

Để tránh bị mất thông tin cá nhân bởi lỗ hổng bảo mật Covert Redirect, chuyên gia an ninh mạng Bkav khuyến cáo người dùng nên cẩn trọng khi nhấn vào các đường link yêu cầu xác thực. Nếu đường link xuất hiện trên tường Facebook khi người dùng không hề giao dịch trên website khác bằng tài khoản Facebook thì nên cân nhắc thật kỹ, tốt nhất không nên bấm chuột vào đường link bởi đây có thể là cái bẫy để tin tặc lấy được những thông tin cá nhân nhạy cảm.