Hàng trăm tiện ích trình duyệt âm thầm vô hiệu hóa bảo mật để khai thác dữ liệu

Các thủ đoạn của hacker ngày càng tinh vi, biến hóa

Ngoài các chức năng được quảng cáo như quản lý dấu trang hay tăng âm lượng loa, các tiện ích này còn âm thầm vô hiệu hóa các biện pháp bảo mật quan trọng của trình duyệt để hỗ trợ các hoạt động thu thập dữ liệu web có trả phí.

Lợi dụng băng thông không sử dụng

Theo nhà nghiên cứu bảo mật John Tuckner từ Security Annex, các tiện ích này đều nhúng một thư viện JavaScript có tên MellowTel-js. Thư viện này kết nối với máy chủ AWS bên ngoài, thu thập thông tin về vị trí, băng thông và trạng thái trình duyệt của người dùng. Nguy hiểm hơn, nó chèn các iframe ẩn vào các trang web mà người dùng truy cập, sau đó tải các trang web khác do hạ tầng của MellowTel chọn. Đồng thời, nó loại bỏ các tiêu đề bảo mật web, vượt qua các biện pháp phát hiện bot và chia sẻ băng thông của người dùng để kiếm lợi nhuận.

Thư viện JavaScript này liên quan đến một công ty có tên Olostep, tự quảng bá là một API thu thập dữ liệu web hiệu suất cao, có khả năng vượt qua các biện pháp phát hiện bot và thực hiện tới 100.000 yêu cầu song song. Khi khách hàng trả phí yêu cầu thu thập dữ liệu từ một trang web, Olostep sử dụng các thiết bị cài đặt tiện ích bị ảnh hưởng để thực hiện việc này, biến trình duyệt của người dùng thành các bot thu thập dữ liệu phân tán mà không có sự đồng ý hay kiến thức của họ.

Người sáng lập MellowTel tuyên bố rằng thư viện này được thiết kế để chia sẻ băng thông người dùng mà không chèn liên kết liên kết, quảng cáo không liên quan hay thu thập dữ liệu cá nhân. Ông cho biết: “Lý do chính khiến các công ty trả tiền cho lưu lượng này là để truy cập dữ liệu công khai từ các trang web một cách đáng tin cậy và tiết kiệm chi phí”. Theo đó, các nhà phát triển tiện ích nhận được 55% doanh thu, phần còn lại thuộc về MellowTel.

Rủi ro bảo mật và quyền riêng tư

Dù được quảng bá là một cách kiếm tiền thân thiện với quyền riêng tư, các chuyên gia cảnh báo rằng hoạt động này gây ra những rủi ro nghiêm trọng, đặc biệt đối với doanh nghiệp. Theo CyberInsider, quy mô và cấu trúc của hệ thống này “dễ bị lạm dụng” bởi các tác nhân độc hại. Việc sử dụng các phiên trình duyệt thực, có thể nằm sau VPN doanh nghiệp hoặc trong mạng nội bộ, có thể dẫn đến các nguy cơ như truy cập trái phép vào tài nguyên nội bộ, giả mạo lưu lượng hợp pháp và làm suy giảm bảo mật trình duyệt do loại bỏ các tiêu đề bảo mật.

Một số tiện ích đã bị gỡ bỏ hoặc vô hiệu hóa sau khi bị gắn cờ là phần mềm độc hại, trong khi một số khác đã cập nhật để loại bỏ mã gây tranh cãi. Tuy nhiên, nhiều tiện ích vẫn đang hoạt động. Người dùng được khuyến nghị kiểm tra danh sách đầy đủ các tiện ích bị ảnh hưởng và xóa ngay các tiện ích đáng nghi khỏi trình duyệt của mình để bảo vệ dữ liệu và thiết bị.

Ba ví dụ về độ nguy hiểm

Đánh cắp thông tin cá nhân

Tình huống: Bạn cài đặt một tiện ích mở rộng "quản lý dấu trang" để sắp xếp các trang web yêu thích.

Điều xảy ra ngầm: Tiện ích này không chỉ quản lý dấu trang mà còn âm thầm ghi lại mọi trang web bạn truy cập, thời gian bạn ở lại đó và thậm chí cả những gì bạn tìm kiếm. Nó gửi tất cả dữ liệu này đến một máy chủ bên ngoài. Kẻ tấn công có thể xây dựng hồ sơ chi tiết về thói quen duyệt web của bạn, từ đó tạo ra các chiến dịch lừa đảo (phishing) cực kỳ tinh vi, nhắm vào các dịch vụ tài chính hoặc mua sắm trực tuyến mà bạn thường dùng.

Hậu quả: Bạn có thể nhận được email lừa đảo trông giống hệt ngân hàng của bạn, yêu cầu xác nhận thông tin đăng nhập, hoặc bị quảng cáo spam.

Lạm dụng băng thông và làm chậm máy (đối với người dùng cá nhân)

Tình huống: Bạn cài một tiện ích "tăng âm lượng loa" vì nghĩ nó sẽ làm phim hay nhạc nghe rõ hơn.

Điều xảy ra ngầm: Tiện ích này lén lút biến trình duyệt của bạn thành một "bot" để thực hiện các yêu cầu web scraping (thu thập dữ liệu) cho bên thứ ba. Nó sử dụng băng thông internet của bạn để truy cập hàng ngàn trang web khác nhau trong nền.

Hậu quả: Máy tính của bạn chạy chậm, internet trở nên ì ạch vì băng thông bị ngốn ngầm. Bạn có thể không nhận ra ngay, nhưng trải nghiệm sử dụng máy tính sẽ giảm sút rõ rệt.

Rủi ro bảo mật doanh nghiệp (đối với môi trường công ty)

Tình huống: Một nhân viên trong công ty cài đặt tiện ích "thời tiết" hoặc "emoji" trên trình duyệt làm việc của mình. Công ty có hệ thống VPN và tường lửa bảo vệ mạng nội bộ.

Điều xảy ra ngầm: Tiện ích này được thiết kế để "vô hiệu hóa các tiêu đề bảo mật web" và "vượt qua cơ chế phát hiện bot". Khi chạy trên máy tính của nhân viên, nó có thể sử dụng kết nối VPN của công ty (vốn được tin cậy) để thu thập dữ liệu từ các trang web bên ngoài. Nghiêm trọng hơn, việc vô hiệu hóa bảo mật có thể mở ra "cánh cửa" cho các cuộc tấn công tinh vi hơn vào chính mạng nội bộ của doanh nghiệp.

Hậu quả: Kẻ xấu có thể lợi dụng phiên trình duyệt để truy cập trái phép vào các tài nguyên nội bộ của công ty, giả mạo lưu lượng truy cập hợp pháp để đánh cắp dữ liệu nhạy cảm của doanh nghiệp, hoặc thậm chí chèn mã độc vào hệ thống. Mức độ rủi ro này là cực kỳ nghiêm trọng, có thể dẫn đến rò rỉ dữ liệu, tấn công mạng diện rộng và thiệt hại tài chính nặng nề cho công ty.

Bùi Tú