Nếu bạn đột nhiên nhận được thông báo từ Facebook yêu cầu khôi phục mật khẩu, có thể tài khoản của bạn đang gặp nguy cơ bị xâm nhập và kiểm soát bởi kẻ tấn công. Một phương thức tấn công đáng chú ý mới đây đã lộ ra sự tinh vi của hình thức này.
Lỗ hổng nghiêm trọng này đã được Facebook vá từ ngày 2/2. Tuy nhiên, chi tiết về nó chỉ được tiết lộ gần một tháng sau. Theo nhà nghiên cứu hàng đầu của chương trình tiền thưởng lỗi của Facebook năm 2024, Samip Aryal, thông qua lỗ hổng này, hacker có thể dễ dàng chiếm quyền kiểm soát bất kỳ tài khoản Facebook nào.
Theo đó, Aryal đã tìm ra một lỗi nghiêm trọng trên Facebook không cần tương tác từ người dùng, còn được gọi là lỗ hổng zero-click.
Tấn công zero-click là gì, nguy hiểm thế nào?
Cuộc tấn công zero-click là loại hình tấn công mạng không yêu cầu sự tương tác nào từ phía người dùng, tức là họ không cần phải bấm vào đường link hay mở file đính kèm nhưng vẫn có thể bị cài đặt mã độc hoặc bị xâm nhập. Điều này làm cho nó khác biệt so với các kiểu tấn công khác, nơi mà nạn nhân thường phải thực hiện một số hành động để cuộc tấn công được kích hoạt.
Các cuộc tấn công zero-click thường lợi dụng các lỗ hổng chưa được phát hiện hoặc chưa được sửa chữa (còn được gọi là lỗ hổng zero-day) trong các phần mềm hoặc hệ thống.
Lỗ hổng này ảnh hưởng đến quá trình đặt lại mật khẩu của Facebook, cụ thể là tùy chọn gửi mã xác thực duy nhất gồm 6 chữ số đến một thiết bị khác mà người dùng đã đăng nhập. Mã này được cung cấp để xác nhận danh tính người dùng và được sử dụng để hoàn tất quá trình đặt lại mật khẩu.
Phân tích truy vấn được gửi bởi trình duyệt khi sử dụng tùy chọn đặt lại mật khẩu cho thấy rằng, mã xác thực có hiệu lực trong khoảng hai giờ và không có biện pháp bảo vệ khỏi các cuộc tấn công brute-force.
Kẻ tấn công chỉ cần biết tên người dùng của mục tiêu và có thể sử dụng một công cụ pentest như Burp Suite để brute-force mã sáu chữ số. Từ đó, hacker có thể đặt lại mật khẩu của tài khoản mục tiêu. Khi lỗ hổng này được khai thác, nạn nhân sẽ nhận được thông báo từ Facebook, hiển thị trực tiếp mã gồm sáu chữ số hoặc yêu cầu người dùng nhấn vào thông báo để xem mã.
Để khắc phục hoàn toàn, người dùng chỉ có thể chờ đợi nhà sản xuất cập nhật bản vá.