WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Yahoo! không thu hồi quyền truy cập iOS Mail sau khi đổi mật khẩu
Sau khi người dùng đặt lại mật khẩu Yahoo!, ứng dụng iOS Mail vẫn tiếp tục có quyền truy cập tài khoản Yahoo!, các nhà nghiên cứu cho biết.
Tuần trước, Yahoo xác nhận ít nhất 500 triệu tài khoản người dùng của hãng đã bị xâm nhập trong cuộc tấn công từ 2 năm trước và yêu cầu người dùng có nguy cơ bị ảnh hưởng cần thay đổi mật khẩu sớm nhất có thể.
Tuy nhiên, nhà nghiên cứu của Zero Day Initiative phát hiện hành động này không đủ để đảm bảo tài khoản bị xâm nhập. Sau khi cài lại mật khẩu, ông phát hiện ứng dụng iOS Mail trên iPhone của mình, được cấu hình cho Yahoo! mail, vẫn kết nối đến tài khoản và có thể truy cập nội dung trong đó.
Theo Trend Micro, vấn đề là Yahoo! đã phát hành ủy nhiệm vĩnh viễn cho thiết bị, không bị thu hồi sau khi thiết lập lại mật khẩu. Vì vậy, ứng dụng vẫn tiếp tục có quyền truy cập tài khoản.
"Nói cách khác, nếu ai đó có quyền truy cập tài khoản của bạn và cấu hình ứng dụng iOS Mail để sử dụng, thì họ sẽ vẫn có quyền truy cập sau khi mật khẩu thay đổi. Điều tệ nhất là bạn có thể sẽ không biết ai đó vẫn có quyền truy cập vào email của bạn", Trend Micro cho biết.
Tuy nhiên, bất kỳ cuộc tấn công "mới" từ các thiết bị khác hoặc thông tin đăng nhập webmail từ xa bằng cách sử dụng thông tin đăng nhập cũ sẽ không hiệu quả.
Một vấn đề khác, Yahoo! đã không thông báo người dùng là sau khi thay đổi mật khẩu, họ nên thực hiện thêm các bước bổ sung để đảm bảo tài khoản. "Điều này có thể khiến hàng triệu người tin rằng họ được bảo vệ trong khi thực tế là không".
Tab “Recent Activity” sẽ giúp người dùng thấy tất cả các ứng dụng kết nối với tài khoản và tùy chọn để loại bỏ.
"Cài đặt của điện thoại không có lựa chọn thay đổi mật khẩu qua ứng dụng, có thể là do thiết kế. Khi thiết lập tài khoản email trên thiết bị, thiết bị được ủy quyền vĩnh viễn cho đến bị thu hồi qua máy chủ".
Người dùng Yahoo! đã thay đổi mật khẩu nên kiểm tra các ứng dụng và thiết bị có liên quan, và loại bỏ những gì đáng nghi. Hơn nữa, người dùng nên cho phép xác thực hai yếu tố (2FA) hoặc sử dụng Account Key của Yahoo! để tăng thêm độ khó khi truy cập tài khoản trong trường hợp mật khẩu bị xâm nhập.
Theo SecurityWeek
Tuần trước, Yahoo xác nhận ít nhất 500 triệu tài khoản người dùng của hãng đã bị xâm nhập trong cuộc tấn công từ 2 năm trước và yêu cầu người dùng có nguy cơ bị ảnh hưởng cần thay đổi mật khẩu sớm nhất có thể.
Tuy nhiên, nhà nghiên cứu của Zero Day Initiative phát hiện hành động này không đủ để đảm bảo tài khoản bị xâm nhập. Sau khi cài lại mật khẩu, ông phát hiện ứng dụng iOS Mail trên iPhone của mình, được cấu hình cho Yahoo! mail, vẫn kết nối đến tài khoản và có thể truy cập nội dung trong đó.
Theo Trend Micro, vấn đề là Yahoo! đã phát hành ủy nhiệm vĩnh viễn cho thiết bị, không bị thu hồi sau khi thiết lập lại mật khẩu. Vì vậy, ứng dụng vẫn tiếp tục có quyền truy cập tài khoản.
"Nói cách khác, nếu ai đó có quyền truy cập tài khoản của bạn và cấu hình ứng dụng iOS Mail để sử dụng, thì họ sẽ vẫn có quyền truy cập sau khi mật khẩu thay đổi. Điều tệ nhất là bạn có thể sẽ không biết ai đó vẫn có quyền truy cập vào email của bạn", Trend Micro cho biết.
Tuy nhiên, bất kỳ cuộc tấn công "mới" từ các thiết bị khác hoặc thông tin đăng nhập webmail từ xa bằng cách sử dụng thông tin đăng nhập cũ sẽ không hiệu quả.
Một vấn đề khác, Yahoo! đã không thông báo người dùng là sau khi thay đổi mật khẩu, họ nên thực hiện thêm các bước bổ sung để đảm bảo tài khoản. "Điều này có thể khiến hàng triệu người tin rằng họ được bảo vệ trong khi thực tế là không".
Tab “Recent Activity” sẽ giúp người dùng thấy tất cả các ứng dụng kết nối với tài khoản và tùy chọn để loại bỏ.
"Cài đặt của điện thoại không có lựa chọn thay đổi mật khẩu qua ứng dụng, có thể là do thiết kế. Khi thiết lập tài khoản email trên thiết bị, thiết bị được ủy quyền vĩnh viễn cho đến bị thu hồi qua máy chủ".
Người dùng Yahoo! đã thay đổi mật khẩu nên kiểm tra các ứng dụng và thiết bị có liên quan, và loại bỏ những gì đáng nghi. Hơn nữa, người dùng nên cho phép xác thực hai yếu tố (2FA) hoặc sử dụng Account Key của Yahoo! để tăng thêm độ khó khi truy cập tài khoản trong trường hợp mật khẩu bị xâm nhập.
Theo SecurityWeek
Chỉnh sửa lần cuối bởi người điều hành: