Lỗ hổng mới trên Mozilla Firefox cho phép bên thứ ba truy cập kho mật khẩu đã lưu

06/09/2019

Mới đây, Mozilla đã phải gấp rút phát hành phiên bản 68.0.2 cho Firefox nhằm vá một lỗ hổng nghiêm trọng cho phép bên thứ 3 (hacker, ứng dụng, nhà cung cấp quảng cáo…) có thể truy cập và sao chép trái phép kho mật khẩu mà người dùng lưu trên trình duyệt, cụ thể là trong cơ sở dữ liệu Save Logins của trình duyệt này, ngay cả khi được bảo vệ bằng một mật khẩu khác.

"Mọi mật khẩu được lưu trữ trong 'Saved Logins' đều có thể bị sao chép trái phép mà không cần nhập mật khẩu chính", khuyến cáo bảo mật của Mozilla Firefox cho biết. Đồng thời lỗ hổng này cũng đang được theo dõi với định danh CVE-2019-11733, và xếp hạng tác động ở mức “moderate”.

Lỗ hổng này nguy hiểm ở chỗ nó cho phép bất kỳ ai sở hữu quyền truy cập cục bộ vào máy tính đang chạy Firefox (phiên bản chưa được vá lỗi) đều có thể điều hướng tới hộp thoại Save Logins trong mục Options > Privacy & Security, và tùy ý sao chép mật khẩu cũng như bất kỳ thông tin đăng nhập nào đã được lưu trữ chỉ bằng cách nhấp chuột phải và chọn tùy chọn "Copy Password".
1.jpg

Như đã nói, Saved Logins là kho lưu trữ thông tin đăng nhập của người dùng trên Firefox. Ngoài ra Saved Logins cũng được bảo vệ bằng một mật khẩu riêng biệt, gọi là mật khẩu chủ (master password). Như vậy, nếu muốn truy cập vào kho lưu trữ thông tin đăng nhập, bạn sẽ phải cung cấp được master password. Tuy nhiên các chuyên gia bảo mật đã phát hiện ra rằng thông tin đăng nhập lưu trữ trong Saved Logins hoàn toàn có thể được sao chép vào clipboard thông qua tùy chọn 'copy password' trong context menu, mà không cần phải nhập master password trước tiên, từ đó tạo điều kiện cho kẻ gian đánh cắp mật khẩu được lưu trữ trên trình duyệt.

Đây rõ ràng là lỗ hổng gây ảnh hưởng trực tiếp tới một phương thức bảo mật vốn được Firefox sử dụng nhằm ngăn chặn các hành vi truy cập trái phép vào thông tin đăng nhập của người dùng.

Bản vá bảo mật Firefox 68.0.2 đã được Mozilla phát hành nhằm khắc phục lỗ hổng này, điều đó có nghĩa là các bên thứ ba có quyền truy cập cục bộ vào trình duyệt sẽ không còn có thể đánh cắp mật khẩu của bạn trong thường hợp master password đã được thiết lập đầy đủ. Việc cần làm hiện tại là kiểm tra xem Firefox của bạn đã được cập nhật lên phiên bản mới nhất hay chưa.
2.jpg

Tuy nhiên có một điều mà bạn cần lưu ý, đó là trình quản lý mật khẩu của Firefox được bật theo mặc định để cho phép người dùng lưu thông tin đăng nhập một cách thuận tiện hơn.

Về cơ bản, đây là một ý tưởng thực sự tốt, nó giúp hạn chế việc hầu hết mọi người thường có thói quen sử dụng lại mật khẩu cực kỳ nguy hiểm, tuy nhiên nhược điểm ở đây là Firefox lại không yêu cầu người dùng cũng phải thiết lập master password để bảo vệ thông tin đăng nhập đã lưu của họ.

Do đó, kho mật khẩu có thể bị tiếp cận bởi bất kỳ ai nắm trong tay quyền truy cập vật lý vào máy tính, từ đó dẫn đến nguy cơ để lộ thông tin nhạy cảm, có giá trị trong những cuộc tấn công cục bộ thông qua cấu hình mặc định của trình duyệt.
Sở dĩ phương pháp quản lý mật khẩu kiểu này vẫn được Mozilla sử dụng là bởi cơ hội để ai đó có quyền truy cập cục bộ vào máy tính của bạn thường nhỏ hơn rất nhiều so với việc mật khẩu của bạn có thể bị rò rỉ sau khi đăng nhập vào các nền tảng trực tuyến, hoặc bị chiếm đoạn thông qua những cuộc tấn công lừa đảo tài khoản trực tuyến vốn xuất hiện “như cơm bữa” trên internet hiện nay.

Một điều cần nhắc đến đó là Firefox, với tính năng tự động cập nhật được tích hợp sẵn, sẽ đảm bảo các bản vá lỗi bảo mật do Mozilla phát hành được gửi đến tay người dùng toàn cầu trong thời gian sớm nhất. Hãy bật tính năng này trên trình duyệt của bạn. 
3.jpg
Hoangnv-ST