Google và Microsoft gỡ bỏ tiện ích ModHeader với 1,6 triệu lượt cài đặt do phát hiện mã độc tiềm ẩn
Google và Microsoft đã đồng loạt gỡ bỏ tiện ích trình duyệt phổ biến ModHeader sau khi các nhà nghiên cứu phát hiện mã thu thập lịch sử duyệt web ẩn giấu bên trong mã...
Google và Microsoft vừa thực hiện gỡ bỏ ModHeader, một tiện ích chỉnh sửa header HTTP phổ biến với khoảng 1,6 triệu lượt cài đặt trên Chrome và Edge. Động thái này diễn ra sau khi các nhà nghiên cứu bảo mật phát hiện một cơ chế thu thập lịch sử duyệt web ẩn giấu được tích hợp sẵn trong phiên bản chính thức trên cửa hàng ứng dụng.
Cơ chế hoạt động tinh vi
Theo phân tích từ công ty bảo mật Stripe OLT, mã độc này nằm trong phiên bản chính thức của tiện ích, không phải là bản sao chép. Mặc dù tính năng thu thập dữ liệu ở trạng thái “ngủ đông” (dormant) do danh sách cho phép (allow-list) bị để trống, nhưng các thành phần nguy hiểm đã được cài cắm sẵn:
- Thu thập dữ liệu: Tiện ích có khả năng tạo dấu vân tay thiết bị (device fingerprint), mã hóa tên miền người dùng truy cập và lưu trữ cục bộ.
- Gửi dữ liệu: Một trình lập lịch (scheduler) được thiết kế để gửi gói dữ liệu đã mã hóa tới máy chủ
api.stanfordstudies[.]comđịnh kỳ mỗi ngày một lần. - Vượt qua kiểm duyệt: Các công cụ quét tự động thường đánh giá tiện ích này ở mức rủi ro thấp vì dữ liệu đã được mã hóa và cơ chế gửi dữ liệu bị khóa bởi danh sách trắng trống.
Đáng chú ý, một tập lệnh chạy trên mọi trang web đã thực hiện ghi lại metadata của các yêu cầu HTTP vào bộ nhớ cục bộ dưới dạng văn bản thuần túy, cho thấy một phần của mã độc đã thực sự hoạt động.
Khuyến nghị cho người dùng
Các chuyên gia bảo mật cảnh báo rằng khi một tiện ích trình duyệt bị chiếm quyền kiểm soát hoặc chứa mã độc, phạm vi ảnh hưởng là rất lớn do chúng thường được cấp quyền truy cập rộng rãi.
Nếu bạn đang cài đặt ModHeader, hãy thực hiện ngay các bước sau:
- Gỡ bỏ tiện ích: Xóa hoàn toàn ModHeader khỏi Chrome và Edge. Việc gỡ cài đặt sẽ giúp xóa sạch dữ liệu lưu trữ cục bộ của tiện ích này.
- Thay đổi thông tin bảo mật: Nếu bạn từng sử dụng tiện ích này để lưu trữ các thông tin nhạy cảm như API key, bearer token hoặc session cookie, hãy thực hiện xoay vòng (rotate) các thông tin này ngay lập tức vì dữ liệu có thể đã bị ghi lại.
- Kiểm tra hệ thống: Đối với quản trị viên, hãy chặn và theo dõi các tên miền
stanfordstudies[.]comvàextensions-hub[.]comtrên hệ thống DNS và proxy.
Sự việc này một lần nữa gióng lên hồi chuông cảnh báo về rủi ro từ chuỗi cung ứng phần mềm (software supply chain) trong hệ sinh thái tiện ích trình duyệt, nơi các công cụ đáng tin cậy có thể trở thành công cụ thu thập dữ liệu chỉ sau một bản cập nhật thông thường.
Nguồn tham khảo: The Hacker News



No Comment! Be the first one.