Nghi vấn trình duyệt Cốc Cốc lấy cookies tài khoản Facebook

lochv37

W-------
05/01/2015
29
50 bài viết
Nghi vấn trình duyệt Cốc Cốc lấy cookies tài khoản Facebook
coccocleak.png

Tối hôm qua, nhóm Facebook SEM Việt Nam đưa thông tin về việc trình duyệt Cốc Cốc thu thập cookies tài khoản Facebook của người dùng. Trong video đăng lên, tác giả đã thực nghiệm lại quá trình này:

- Bật phần mềm kiểm tra request trên máy tính thì thấy Cốc Cốc có gửi lên server đoạn POST trong đó có chứa cookies tài khoản vừa đăng nhập lên domain: https://spell.itim.vn

- Check domain thì thấy đơn vị chủ quản là Công ty TNHH Cốc Cốc

- Cookies đăng nhập chính là tài khoản Facebook.


Thông tin này làm người dùng khá lo lắng về việc lộ lọt dữ liệu cá nhân khi sử dụng trình duyệt Cốc Cốc.

Tuy nhiên, phía Cốc Cốc đã có phản hồi, cho rằng lỗi trên là kết hợp cả 2 phía: do người dùng sử dụng đồng thời add-on Ninja Fast Login Facebook, phần mềm sử dụng cookies người dùng đã copy để đơn giản hóa việc đăng nhập vào Facebook, và tính năng kiểm tra lỗi chính tả spell checker của Cốc Cốc.

Cốc Cốc khuyến cáo người dùng không nên sử dụng Ninja Fast Login Facebook hoặc tắt tính năng kiểm tra lỗi chính tả trên trình duyệt Cốc Cốc, cho tới khi Cốc Cốc khắc phục được vấn đề này.

Câu trả lời của Cốc Cốc chưa thực sự thuyết phục và vẫn còn khá nhiều câu hỏi được đặt ra. Đó là:

1. Cốc Cốc có lấy cookies Facebook của người dùng?

2. Tính năng spell check của Cốc Cốc có gửi mọi thông tin của người dùng về cho Cốc Cốc?


Mình sẽ tiếp tục làm rõ và update để các bạn nắm được.

Phần tiếp theo mời các bạn xem ở đây: Video: Cốc Cốc lấy thông tin như thế nào?
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: whf and Sugi_b3o
Cái mình quan tâm hơn là thằng Spell check của coccoc kia nó đã bị lỗi lâu chưa và lỗi ấy có vô tình thu nhận toàn bộ thông tin mà người dùng coccoc nhập vào trong quá trình sử dụng không?
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Cái mình quan tâm hơn là thằng Spell check của coccoc kia nó đã bị lỗi lâu chưa và lỗi ấy có vô tình thu nhận toàn bộ thông tin mà người dùng coccoc nhập vào trong quá trình sử dụng không?
mình không nghĩ là lỗi, có thể là 1 tính năng
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: Sugi_b3o
Comment
Mình đã thử đăng nhập theo cách bình thường và không thấy có vấn đề liên quan đến cookie, ở đây có lẽ thực sự có vấn đề ở phần mềm Ninja Login kia vì nó sử dụng thông tin ở Clilpboard để đăng nhập có thể đã vào một case nào đó check spell của CocCoc
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Chào bạn, mình là Hiếu Phan, developer từ Cốc Cốc Browser. Mình xin trả lời các câu hỏi của bạn như sau:

1. Cốc Cốc có lấy cookies Facebook của người dùng?

Không và Cốc Cốc sẽ không bao giờ làm vậy. Đó chỉ là một sự hiểu nhầm mà thôi. Extension Ninja Fast Login Facebook sử dụng một trick để lấy dữ liệu từ clipboard, đó là thực hiện lện paste vào một text filed ẩn. Spell checker đã được chạy trên text filed đó nên vô tình gửi cookie mà bạn ấy đã copy lên. Cốc Cốc không cố tình làm điều đó. Tuy nhiên, việc để spell checker chạy trên một text filed ẩn là một bug của Cốc Cốc. Chúng tôi sẽ fix trong bản release tới.

2. Tính năng spell check của Cốc Cốc có gửi mọi thông tin của người dùng về cho Cốc Cốc?

Để phục vụ cho tính năng spell checker, chúng tôi bắt buộc phải gửi những gì bạn nhập vào text field lên server. Server sẽ kiểm tra và trả kết quả gợi ý trở lại cho browser. Dữ liệu gửi lên là vô danh (anonymous). Chúng tôi không thể biết chính xác ai đã gửi dữ liệu lên. Đấy là thiết kế bình thường cho một online service nào.

Google cũng thiết kế tính năng spell checker như vậy. Bạn có thể xem: https://www.google.com/intl/en/chrome/browser/privacy/whitepaper.html#spelling

Tuy nhiên chúng tôi biết đây là dữ liệu nhạy cảm, do đó từ bản 68 (released vào tháng 12/2017), chúng tôi đã tiến hành mã hoá nó. Điều này khiến dữ liệu của bạn được bảo đảm hơn bao giờ hết.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
thôi, cạch mặt cóc cóc ra từ nay
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Theo mình, người hack sử dụng trình duyệt Cc để làm việc đó.
Bản chất CC khi sử dụng sẽ VPN về máy chủ và đi ra ngoài, đây là lý do FW khó chặn url khi clients sử dụng CC.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Thẻ
cốc cốc coccoc coockies facebook
Bên trên