Mới đây trên một trang web chợ đen dành cho giới hacker , có tài khoản thông báo rằng họ đang nắm trong tay những lỗ hổng của hệ thống Zalo.
Theo tài khoản trên trang web chợ đen thì chuỗi khai thác bao gồm 3-4 lỗ hổng khác nhau. Chuỗi khai thác này cho hacker có thể kiểm soát bất kỳ tài khoản Zalo Chat hoặc Zalo Pay nào.
Tài khoản mang tên i..lzalo nói rằng , họ biết Zalo là một sản phẩm của VNG và thấy các đội bảo mật của VNG tại nhiều sự kiện an ninh mạng trên khắp thế giới nên họ quyết định dùng thử Zalo và tìm ra các PoC về lỗ hổng bảo mật:
Ảnh chụp màn hình tại trang web chợ đen đang rao bán chuỗi lổ hổng của Zalo
Theo nội dung mà tài khoản rao bán thì : Chuỗi khai thác khiến hacker chỉ cần cần gửi một liên kết đến nạn nhân nếu nạn nhân chỉ cần nhấp chuột vào liên kết ngay lập tức tài khoản Zalo sẽ bị hacker chiếm.. Lỗ hổng này còn không để lại dấu vết cho nạn nhân, không có cảnh báo, không có trạm kiểm soát. Anh ta có thể cung cấp cho người mua một video PoC chi tiết trước khi người mua thanh toán. Sau đó cung cấp mã khai thác dưới dạng một ứng dụng được đóng gói đầy đủ . Anh ta chỉ chấp nhận thanh toán tiền điện tử
Zalo là "siêu ứng dụng" đa chức năng với hơn 100 triệu người dùng ( số liệu 2018 wiki) . Ứng dụng này có thể Nhắn tin miễn phí , Gọi điện miễn phí, Thanh toán nhiều dịch vụ bằng thẻ tín dụng, ngân hàng qua ZaloPay.
Ngày 29/8/2019 tại Hà Nội, bộ trưởng, chủ nhiệm văn phòng chính phủ - ông Mai Tiến Dũng đã lưu ý tới các địa phương về việc, cân nhắc kĩ càng trước khi muốn sử dụng phần mềm Zalo. Ông cũng đồng thời cho biết thêm, bộ Thông tin Và Truyền thông sẽ đánh giá lại các yếu tố an ninh, an toàn khi thực hiện dịch vụ công trực tuyến thông qua ứng dụng này (nguồn)
Hiện chưa rõ lỗ hổng 0day này như thế nào , nhưng nếu tồn tại thì sẽ rất nguy hiểm . Người dùng không click vào bất kỳ link lạ nào khi chưa chắc chắn. Vn-Z team sẽ tiếp tục cập nhật ở các bài viết tiếp theo
Vn-Z.vn team tổng hợp
Theo tài khoản trên trang web chợ đen thì chuỗi khai thác bao gồm 3-4 lỗ hổng khác nhau. Chuỗi khai thác này cho hacker có thể kiểm soát bất kỳ tài khoản Zalo Chat hoặc Zalo Pay nào.
Tài khoản mang tên i..lzalo nói rằng , họ biết Zalo là một sản phẩm của VNG và thấy các đội bảo mật của VNG tại nhiều sự kiện an ninh mạng trên khắp thế giới nên họ quyết định dùng thử Zalo và tìm ra các PoC về lỗ hổng bảo mật:
Ảnh chụp màn hình tại trang web chợ đen đang rao bán chuỗi lổ hổng của Zalo
Zalo là "siêu ứng dụng" đa chức năng với hơn 100 triệu người dùng ( số liệu 2018 wiki) . Ứng dụng này có thể Nhắn tin miễn phí , Gọi điện miễn phí, Thanh toán nhiều dịch vụ bằng thẻ tín dụng, ngân hàng qua ZaloPay.
Ngày 29/8/2019 tại Hà Nội, bộ trưởng, chủ nhiệm văn phòng chính phủ - ông Mai Tiến Dũng đã lưu ý tới các địa phương về việc, cân nhắc kĩ càng trước khi muốn sử dụng phần mềm Zalo. Ông cũng đồng thời cho biết thêm, bộ Thông tin Và Truyền thông sẽ đánh giá lại các yếu tố an ninh, an toàn khi thực hiện dịch vụ công trực tuyến thông qua ứng dụng này (nguồn)
Hiện chưa rõ lỗ hổng 0day này như thế nào , nhưng nếu tồn tại thì sẽ rất nguy hiểm . Người dùng không click vào bất kỳ link lạ nào khi chưa chắc chắn. Vn-Z team sẽ tiếp tục cập nhật ở các bài viết tiếp theo
Vn-Z.vn team tổng hợp
