Lỗ hổng 0day hệ thống Zalo bị rao bán trên chợ đen

VNZ-NEWS
Mới đây trên một trang web chợ đen dành cho giới hacker , có tài khoản thông báo rằng họ đang nắm trong tay những lỗ hổng của hệ thống Zalo.
Theo tài khoản trên trang web chợ đen thì chuỗi khai thác bao gồm 3-4 lỗ hổng khác nhau. Chuỗi khai thác này cho hacker có thể kiểm soát bất kỳ tài khoản Zalo Chat hoặc Zalo Pay nào.


untitled-1600834131431135877676-0-67-542-880-crop-1600834405053356143988.png


Tài khoản mang tên i..lzalo nói rằng , họ biết Zalo là một sản phẩm của VNG và thấy các đội bảo mật của VNG tại nhiều sự kiện an ninh mạng trên khắp thế giới nên họ quyết định dùng thử Zalo và tìm ra các PoC về lỗ hổng bảo mật:

Zalo-hack.png

Ảnh chụp màn hình tại trang web chợ đen đang rao bán chuỗi lổ hổng của Zalo
Theo nội dung mà tài khoản rao bán thì : Chuỗi khai thác khiến hacker chỉ cần cần gửi một liên kết đến nạn nhân nếu nạn nhân chỉ cần nhấp chuột vào liên kết ngay lập tức tài khoản Zalo sẽ bị hacker chiếm.. Lỗ hổng này còn không để lại dấu vết cho nạn nhân, không có cảnh báo, không có trạm kiểm soát. Anh ta có thể cung cấp cho người mua một video PoC chi tiết trước khi người mua thanh toán. Sau đó cung cấp mã khai thác dưới dạng một ứng dụng được đóng gói đầy đủ . Anh ta chỉ chấp nhận thanh toán tiền điện tử


Zalo là "siêu ứng dụng" đa chức năng với hơn 100 triệu người dùng ( số liệu 2018 wiki) . Ứng dụng này có thể Nhắn tin miễn phí , Gọi điện miễn phí, Thanh toán nhiều dịch vụ bằng thẻ tín dụng, ngân hàng qua ZaloPay.

Ngày 29/8/2019 tại Hà Nội, bộ trưởng, chủ nhiệm văn phòng chính phủ - ông Mai Tiến Dũng đã lưu ý tới các địa phương về việc, cân nhắc kĩ càng trước khi muốn sử dụng phần mềm Zalo. Ông cũng đồng thời cho biết thêm, bộ Thông tin Và Truyền thông sẽ đánh giá lại các yếu tố an ninh, an toàn khi thực hiện dịch vụ công trực tuyến thông qua ứng dụng này (nguồn)

Hiện chưa rõ lỗ hổng 0day này như thế nào , nhưng nếu tồn tại thì sẽ rất nguy hiểm . Người dùng không click vào bất kỳ link lạ nào khi chưa chắc chắn. Vn-Z team sẽ tiếp tục cập nhật ở các bài viết tiếp theo


Vn-Z.vn team tổng hợp
 
  • Like
 anhdataothao, Vu Hao, DK Arthur and 10 others Reactions: anhdataothao, Vu Hao, DK Arthur and 10 others
Chip Intel 3nm sử dụng công nghệ quy trình của TSMC sẽ sản xuất hàng loạt vào tháng 7 năm 2022
Trả lời
biokiller

biokiller

Rìu Sắt
quang12345 nói:
nội cái việc nhấn link fb thì ko bật app là thấy thứ mất dạy rùi,
tiếp theo là thường xuyên tự động đăng nhập vào baomoi khi click link bất kỳ, đã thế nếu cài app baomoi thì zalo mặc định cung cấp quyền cho baomoi nữa chứ

hóng bị hack thật sự
Nhấn để mở rộng...
Hời ơi bị hack là mệt à. Bao nhiêu trang của chính quyền chạy trên đó, chưa kể là doanh nghiệp.
 
5

5Characters

Rìu Sắt
quang12345 nói:
nội cái việc nhấn link fb thì ko bật app là thấy thứ mất dạy rùi,
tiếp theo là thường xuyên tự động đăng nhập vào baomoi khi click link bất kỳ, đã thế nếu cài app baomoi thì zalo mặc định cung cấp quyền cho baomoi nữa chứ

hóng bị hack thật sự
Nhấn để mở rộng...
đúng luôn, dùng zalo cảm giác bị ép buộc dễ sợ :))))

đợt vng ép dùng Zalo đăng nhập mà mình bỏ ZingMP3 luôn {baffle}
 
pham thang

pham thang

Búa Gỗ
Mọi người không nên lo lắng quá. Tài khoản ilovevng là mới được lập, đăng 1 bài lên nhưng không có hình ảnh chứng minh lỗ hổng, không thấy rao bán, bên zalo chưa khẳng định là có lỗ hổng như vậy =>> có thể tài khoản ilovevng đăng bài để định hướng dư luận cho một hãng nào đó bị lộ thông tin nhạy cảm gần đây.
 
Huynhtam01284

Huynhtam01284

Búa Đá Đôi
Lại câu trả lời "do nhân viên cũ đã từng làm việc leak ra, và nội dung đó đã cũ chúng tôi đã khắc phục được, khách hàng cứ yên tâm!" :))
 
A

anhtuVN

Rìu Sắt
zalo thì hạn chế lắm mới xài trên pc, rất hao tài nguyên máy, và smartphone . Phải mở task manager ra so sánh giữa zalo và tele mới thấy zalo chiếm dụng CPU với ram thế nào. Còn trên martphone thì rất hao pin. Đợt này mong bên zalo nâng cấp chứ dồn ép nhiều mục không cần thiết vào quá
 
M

Meo Map

Rìu Vàng Đôi
Bởi hầu hết mọi người VN dùng zalo đó thôi. Họ vì tính tiện lợi trong công việc, đối tác chỉ muốn dùng zalo thì họ không thể ép đối tác dùng phương thức khác.

Nhưng nhiều công ty, tập đoàn Việt từ bỏ zalo là công cụ nhắn nhiếc họp hiếc rồi.

Administrator nói:
Lỗi này nếu có thì có thể là lừa người dùng, cũng nguy hiểm nhưng không nguy hiểm khi zalo bị hack thật sự vào máy chủ.
Nhấn để mở rộng...
Nhưng bấm vào mà bị dính ngay luôn, thì quá nguy hiểm. Không ai có đủ tỉnh táo để luôn đề phòng, nhất là với số đông người dùng không ai cũng biết các trick lừa mà tránh.

Tuy nhiên còn cần kiểm chứng thông tin seller kia.

quang12345 nói:
cái đó để zalo lo bạn ơi =))
Nhấn để mở rộng...
Tôi không dùng zalo, nhưng cũng cảm ơn bạn đã khéo léo trấn an. Tôi không được khéo lắm, cho tôi hỏi một tháng họ trả bạn bao nhiêu?
Đừng có quan tâm, để zalo tự lo? Nghe cũng hợp lý. Bạn biết đùa đấy.
 
Sửa lần cuối:
T

thietkewebchuyen

Rìu Sắt Đôi
quang12345 nói:
nội cái việc nhấn link fb thì ko bật app là thấy thứ mất dạy rùi,
tiếp theo là thường xuyên tự động đăng nhập vào baomoi khi click link bất kỳ, đã thế nếu cài app baomoi thì zalo mặc định cung cấp quyền cho baomoi nữa chứ

hóng bị hack thật sự
Nhấn để mở rộng...
Chuẩn, zalo mất nết cực kỳ đã hủy FL rồi mà cứ lâu lâu là push lên toàn này nọ không xóa + Unfollow thì lại y như rằng chuyện chưa xảy ra , chưa kể 1 nick zalo xài chỉ 1 thiết bị cùi méo chịu được đã vậy lâu lâu còn bị mất tin nhắn hay Media chán chết đi dc chả qua là mọi ng cảm thấy tiện chứ thật sự zalo rất chi là này nọ ...
 
You must log in or register to reply here.
BÀI MỚI ĐANG THẢO LUẬN
PlayStation 5 Pro, GPU tăng vọt! Bộ nhớ tăng thêm 2GB DDR5
5/11/24 Nổi bật
Meta bị Hàn Quốc phạt 21,6 tỷ won do vi phạm quyền riêng tư người dùng
5/11/24 Nổi bật
Sét đánh bất ngờ vào sân bóng đá khiến một cầu thủ chết, một người bị...
5/11/24
Vấn đề liên quan đến Kiwi Syslog Server!
5/11/24
Cổ phiếu EIB - Có nên MUA? BÍ ẨN quyền lực đằng sau ngân hàng EXIMBANK
5/11/24
Đăng nhập tài khoản apple trên ipad mini 3
4/11/24