Phát hiện Addon theo dõi người dùng và đào bitcoin trên duyệt web

Người ta phát hiện rằng 2 tiện ích mở rộng trên Chrome là Steam Inventory Helper và SafeBrowse đang lén chạy các đoạn mã để thực hiện ý đồ xấu trên máy tính người dùng. Đầu tiên là Steam Inventory Helper, một add on quản lý tài khoản Steam, bị phát hiện là chạy những đoạn mã nhằm giám sát hoạt động của người dùng, đánh cắp thông tin trái phép. Tiếp theo là SafeBrowse, được giới thiệu nhằm giúp người dùng vượt qua các trang quảng cáo như …… hoặc Linkbucks, nhưng lại tự khởi chạy ngay khi người dùng chạy trình duyệt, từ đó tận dụng trái phép sức mạnh của máy tính để đào bitcoin trái phép.

Sơ một chút về Steam Inventory Helper, đây là một addon khá phổ biến trong cộng đồng game thủ trên Steam, được dùng để hỗ trợ quản lý, trao đổi và mua bán. Đặc biệt, rất nhiều game thủ CounterStrike Global Offensive (CSGO) có sử dụng tiện ích này. Tuy nhiên, mới đây một người dùng trên Reddit đã phát hiện rằng trong bản cập nhật mới đây, SIH đã yêu cầu quyền “đọc và thay đổi những dữ liệu của người dùng trên các trang web mà họ duyệt”. Chi tiết hơn, SIH sẽ chạy code trên bất kỳ trang web nào mà người dùng load, từ đó theo dõi những thông tin như nguồn gốc trang web, thời gian ở trong trang đó, thời điểm di chuyển chuột, những phím bấm đã nhấn (không phải những gì người dùng gõ),… Các thông tin mà SIH theo dõi sau đó sẽ được tổng kết và gởi về một máy chủ. Tuy nhiên cần phải làm rõ rằng addon này ban đầu yêu cầu người dùng cấp quyền cho nó mới hoạt động được, nếu không thì nó sẽ không hoạt động.

Tiếp theo là addon SafeBrowse. Đây được giới thiệu là tiện ích giúp người dùng skip qua những trang quảng cáo kiểu như …… hoặc Linkbucks. Tuy nhiên ở bản cập nhật mới nhất, người ta phát hiện rằng nó có chứa một đoạn mã đào bitcoin và sẽ khởi chạy ngay khi trình duyệt được bật lên, tận dụng sức mạnh CPU máy tính để đào bitcoin. Khi đó, người dùng nào có cài SafeBrowse sẽ nhận thấy CPU chạy với cường độ cao khi bật trình duyệt. Khi bật bảo vệ tường lửa lên thì sẽ được báo rằng kết nối được chuyển tới domain là coin-hive.com. Chưa dừng lại ở đó, một số trang chia sẻ nội dung torrent, điển hình là Pirate Bay, đã bí mật cài đoạn mã JavaScript để lén “ép” máy người dùng đào bitcoin khi họ đang duyệt tới trang này.

Trước tình hình này, các chuyên gia khuyến cáo nếu đã lỡ cài các addon này thì nên tháo gỡ ngay lập tức để tránh bị xâm hại tới thông tin cá nhân cũng như bị lợi dụng tài nguyên máy tính cho ý đồ xầu. Hiện tại, mình thử vào đường dẫn tải các addon này từ store của Google thì có vẻ như đã bị gỡ xuống. Đồng thời, vụ việc lần này một lần nữa gióng lên hồi chuông cảnh báo về những kẽ hở trong quá trình kiểm duyệt của Google, có thể khiến hacker khai thác và đưa malware hoặc nhiều dạng phần mềm độc hại khác nghiễm nhiên lên store.

Nguồn : Tinh Tế

https://vnitnews.com

Leave a Reply

Email của bạn sẽ không được hiển thị công khai.