Một chuyên gia bảo mật đã công bố phát hiện ra một lỗ hổng nghiêm trọng cho phép hacker giả mạo địa chỉ trang web ngay thanh địa chỉ trình duyệt Safari trên iOS hay Microsoft Edge trên Windows.
Nếu bạn sử dụng điện thoại iPhone thì đây thực sự là một lỗ hổng nghiêm trọng. Lỗ hổng mới được phát hiện này thậm chí có thể qua mặt URL và SSL – những “thông tin” đầu tiên người dùng kiểm tra để xác định xem trang web có phải giả mạo hay không. Thông qua một đoạn javascript, hacker có thể giả mạo địa chỉ trang web trên thanh địa chỉ của Safari, khiến bạn cứ nghĩ bạn đang vào đúng trang web nhưng thực tế đó là một địa chỉ giả mạo. Trường hợp này rất nguy hiểm khi bạn vào nhầm các trang web giả mạo với yêu cầu nhập thông tin tài khoản ngân hàng, email, icloud,… Do URL được hiển thị trên thanh địa chỉ không thay đổi nên cuộc tấn công lừa đảo này trở nên khó phát hiện ngay cả khi người dùng có hiểu biết.
Rafay Baloch – chuyên gia bảo mật phát hiện lỗ hổng này – đã tạo một trang kiểm tra lỗ hổng và cả hai trình duyệt Microsoft Edge trên Windows cũng như Safari trên iOS đều cho phép javascript cập nhật thanh địa chỉ trong khi trang vẫn đang tải. Hai trình duyệt phổ biến khác là Google Chrome và Firefox không bị “dính” phải lỗi bảo mật này.
Hiện tại, Microsoft đã vá lỗ hổng này vào tháng trước trong bản cập nhật Patch Tuesday (nếu bạn đã cập nhật qua Windows Update thì có thể yên tâm), trong khi đó Apple vẫn chưa có phản hồi gì về lỗ hổng kể từ khi nhận được báo cáo từ ngày 2/6 vừa qua.
Hacker có thể dễ dàng giả mạo một trang ngân hàng trên trình duyệt Safari
Microsoft Edge cũng “dính” lỗi bảo mật này khi chưa cập nhật “bản vá
theo TheHackerNews