Cảnh báo phổ biến

Từ sự việc ATP software, cảnh giác với các extension có nguy cơ gây hại

Cuối tháng 6, đầu tháng 7 năm 2023, team Chống Lừa Đảo (CLĐ) đã có tranh luận cùng ATP Software về vấn đề tiện ích mở rộng (extension) của ATP thu thập cookies đăng nhập Facebook, Zalo của người dùng. Vậy việc thu thập thông tin như vậy có tác hại gì? Bạn có thể […] from Từ sự việc ATP software, cảnh giác với các extension có nguy cơ gây hại

ảnh đại diện

by Biên Tập Viên

schedule 01/07/2023

Cuối tháng 6, đầu tháng 7 năm 2023, team Chống Lừa Đảo (CLĐ) đã có tranh luận cùng ATP Software về vấn đề tiện ích mở rộng (extension) của ATP thu thập cookies đăng nhập Facebook, Zalo của người dùng. Vậy việc thu thập thông tin như vậy có tác hại gì? Bạn có thể tìm hiểu kỹ hơn với bài viết dưới đây.

Mục lục bài viết ẩn
Extension của ATP
1. Việc xử lý gửi token, cookies của người dùng trên backend của server ATPsoftware
2. Việc lưu trữ, sử dụng token, cookies của người dùng ở server
3. Việc cài đặt extension
4. Vấn đề pháp lý của việc lưu trữ token, cookies
Cảnh báo đến người dùng

Extension của ATP

Extension của ATP là một extension hỗ trợ lấy nhanh cookies của Facebook và Zalo. Nhưng extension này không thể được cài đặt trực tiếp qua cửa hàng ứng dụng của các trình duyệt như Edge, Chrome mà buộc người dùng phải tự tải về và cài đặt thủ công.

Một thành viên kỹ thuật của team CLĐ là Chí Trần đã có bài phân tích kỹ thuật về extension của ATP, bạn có thể xem chi tiết tại đây.

Về cơ bản, extension này chứa một đoạn mã đáng nghi có tác dụng đánh cắp cookies người dùng trong file popup.js với tiến trình như sau:

  • Đánh cắp token từ extension
  • Tổng hợp token làm thành 1 batch, đẩy về token[.]atpsoftware[.]vn
  • Những token Facebook, Zalo này có thể bị lạm dụng trong các tool seeding được bán ra thị trường
Đoạn mã kiểm tra xem bạn có đang truy cập Facebook hoặc Zalo không
Đoạn mã nhằm mục đích đẩy các token về server của ATP Software

Ngay sau khi team CLĐ đưa ra lời cảnh báo trên, đại diện của ATP Software đã có lời phản hồi đại ý như sau:

  • Extension chỉ hỗ trợ người dùng lấy cookies, token các tài khoản của họ trên trình duyệt
  • Việc đẩy token về server và hiển thị lên token[.]atpsoftware[.]vn là một chiến lược SEO của công ty này, nhằm lợi dụng các lượt truy cập xem (hay còn gọi là traffic) cookies và token để hỗ trợ vào việc SEO.

Sau khi hiểu rõ hơn về ý định cũng như cách vận hành của extension này, team Chống Lừa Đảo đã nhận ra nhiều điểm nguy hại về mặt bảo mật, đảm bảo an toàn cho các tài khoản mạng xã hội cũng như thông tin cá nhân của người dùng khi sử dụng extension này.

1. Việc xử lý gửi token, cookies của người dùng trên backend của server ATPsoftware

  • Team Chống Lừa Đảo chúng tôi khẳng định việc làm này không được khuyến khích trong việc đảm bảo an toàn thông tin cho người dùng. Thay vì có thể xử lý hoàn toàn ngay trên client-side thông qua extension.
  • Team ATPsoftware đã thừa nhận đây là khuyết điểm và sẽ chuyển sang xử lý hoàn toàn ngay trên client-side thông qua extension trong phiên bản cập nhật mới

2. Việc lưu trữ, sử dụng token, cookies của người dùng ở server

  • Team Chống Lừa Đảo nói riêng và người dùng nói chung không thể kiểm chứng cũng như kiểm soát việc token, cookies của người dùng sẽ được lưu trữ, sử dụng, trao đổi hay mua bán ở phía server backend như thế nào. Trong khi cookies, token là những thông tin quan trọng, có thể bị sử dụng để chiếm đoạt tài khoản.
  • Team ATPsoftware một lần nữa khẳng định họ không có chủ đích lưu trữ hay mua bán các dữ liệu này, nhưng cũng sẽ bỏ phần này trong phiên bản cập nhật mới nhất để tránh hiểu nhầm và đảm bảo an toàn thông tin cho người dùng.

3. Việc cài đặt extension

  • Thông thường, các extension chính thống sẽ được cài đặt thông qua cửa hàng của trình duyệt. Để có thể được duyệt vào cửa hàng, các extension cần đảm bảo một số quy chuẩn nhất định để bảo đảm an toàn cho người dùng. Tuy nhiên extension của ATPsoftware lại không thể được tìm thấy trên cửa hàng chính thống mà phải cài đặt thủ công từ phía người dùng.
  • ATPsoftware khẳng định rằng, tiện ích này vốn được sử dụng 100% trong nội bộ khách hàng của công ty cho việc marketing. Vì nhận thấy Chrome có hỗ trợ người dùng cài đặt không thông qua store và trên thị trường cũng đang có nhiều addon vẫn lưu hành không thông qua store nên team đã chủ quan không upload lên store.
  • Team ATP đã nhận sai hoàn toàn và đảm bảo rằng sẽ khắc phục bằng cách làm lại một bản extension mới, hoàn thiện các lỗi về bảo mật theo góp ý của team Chống Lừa Đảo và sẽ upload lên store trong thời gian tới.

4. Vấn đề pháp lý của việc lưu trữ token, cookies

  • Theo tìm hiểu và tham vấn từ luật sư, Chống Lừa Đảo nhận định rằng ATPSoftware đã vi phạm một số điều khoản của nghị định 13/2023/NĐ-CP và luật hình sự là điều 289. Vì dữ liệu token, cookies của người dùng là dữ liệu cực kỳ nhạy cảm và có thể bị lạm dụng để dùng sai mục đích.
  • Chưa kể dữ liệu này khi gọi về token[.]atpsoftware[.]vn sử dụng GET method thì tham số chứa dữ liệu sẽ được ghi vào access log của web server có IP 45.77.47.127, điều này có nghĩa token, cookie của người dùng đã được lưu trữ trên server.
  • ATPsoftware đã thừa nhận hoàn toàn vấn đề này là lỗi từ phía mình khi đội dev ATP thiếu kiến thức về bảo mật và quản trị server dẫn đến việc không biết việc sử dụng method GET trên đường dẫn sẽ gây ra sự cố lưu trữ lịch sử truy cập đường dẫn có chứa thông tin nhạy cảm trong đường dẫn đó.
  • Nhưng với team ATP, đây thực sự là sự cố do thiếu kiến thức về an toàn thông tin mà không phải có chủ đích thực hiện lưu lại cookie/extension của khách hàng
  • Đây là lỗ hổng không mong muốn và ATPsoftware đã thừa nhận những sai phạm trong khâu xây dựng phần mềm do sự thiếu xót về kiến thức trong quản lý nhân sự kỹ thuật khi lập trình phần mềm. Team ATP sẽ sửa lại lỗ hổng và khắc phục vấn đề này trong thời gian sớm nhất

Cảnh báo đến người dùng

Hiện nay, có rất nhiều extension dạng add-on được tạo ra từ nhiều nguồn khác nhau, hỗ trợ người dùng nhiều công việc khác nhau. Nhưng phần lớn người dùng thông thường không thực sự quan tâm đến vấn đề an toàn khi sử dụng những tiện ích này.

Từ năm 2020, các nhà bảo mật đã cảnh báo hàng loạt tiện ích mở rộng dành cho trình duyệt Chrome có chứa mã độc đe dọa an toàn thông tin của người dùng. Những mã độc đội lốt tiện ích này nhắm đến các thông tin như dữ liệu đăng nhập tài khoản của người dùng, phục vụ cho các tin tặc tấn công vào hệ thống tài chính, y tế hay tổ chức chính phủ.

Tháng 6 vừa qua, một chuyên gia bảo mật tiếp tục cảnh báo về 34 tiện ích mở rộng trên trình duyệt Chrome chứa mã độc đánh cắp thông tin cá nhân, gây nguy cơ mất dữ liệu cho 87 triệu người dùng toàn cầu.

Trường hợp ATPsoftware không chỉ tiếp tục là hồi chuông cảnh báo người dùng về ý thức bảo vệ thông tin cá nhân nhạy cảm trước những nguy cơ rình rập trong chính các thiết bị của mình, mà còn là lời cảnh báo cho các lập trình viên, nhà quản lý doanh nghiệp về tầm quan trọng của việc đảm bảo an toàn thông tin cũng như kiến thức về vấn đề này nếu không muốn sản phẩm của mình trở thành công cụ cho các tin tặc.

Để bảo vệ bạn trên môi trường mạng, Chống Lừa Đảo xin đưa ra một số lời khuyên về việc sử dụng extension trên các trình duyệt

  • KHÔNG nên cài đặt thủ công các extension không có sẵn trên các store của trình duyệt
  • KHÔNG nên sử dụng các extension với mục đích can thiệp vào các thông tin cá nhân nhạy cảm nếu bạn không thực sự hiểu cách vận hành của nó
  • KHÔNG cài đặt những tiện ích mở rộng extension mà bạn không hiểu rõ.
  • NÊN có sự tham vấn và đặt câu hỏi tới những người am hiểu về an toàn thông tin trước khi cài đặt.

Bài viết liên quan

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *