Theo các nhà nghiên cứu của Pháp và Bỉ, một lỗ hổng vừa được phát hiện cho phép trình duyệt web có thể theo dấu người dùng Internet ngay cả khi họ đã che giấu danh tính.
Lỗ hổng nằm trong giao diện lập trình ứng dụng (API) trạng thái dùng pin thiết kế cho HTML5, phiên bản hiện tại của ngôn ngữ web. API cung cấp cho trình duyệt web, chẳng hạn như Chrome hoặc Firefox, thông tin về smartphone, máy tính bảng hoặc thời lượng pin của laptop, qua đó cho phép nó kích hoạt chế độ tiết kiệm pin khi pin đang cạn kiệt.
Vấn đề nằm ở chỗ người dùng không thể lựa chọn được API trạng thái dùng pin và World Wide Web Consortium (W3C), tổ chức đưa ra các chuẩn Internet, lại không xếp vấn đề này thuộc dạng nguy cơ bảo mật khi giới thiệu HTML5. "Thông tin bị tiết lộ theo con đường này có rất ít ảnh hưởng tới vấn đề riêng tư hoặc dấu vân tay ngay khi cả nó được thực hiện mà không được sự cho phép của người dùng", W3C nói trong thông báo phát đi năm 2012.
Tuy nhiên, theo các nhà nghiên cứu, vấn đề lại trầm trọng hơn nhiều. Các dữ liệu bị đánh cắp, theo lý thuyết, có thể đủ để tiết lộ danh tính của người dùng.
Yếu tố bất ngờ
Các hàm API trạng thái pin hoạt động thông qua cơ chế cung cấp cho phần mềm trình duyệt đơn vị tính từ 0 tới 1 gọi là "level", đồng thời đưa ra số giây dự đoán mà chúng cần tới để sạc đầy pin hoặc xả cạn pin.
Các nhà nghiên cứu sau khi kiểm tra với trình duyệt Firefox trong môi trường Linux, đã nhận thấy có tới ít nhất 14,2 triệu kết hợp khác nhau giữa số liệu này, đủ để kẻ do thám xác định được danh tính người dùng thông qua trạng thái dùng pin trên thiết bị của họ. Cứ mỗi 30 giây, trạng thái này lại thay đổi, đồng nghĩa với việc danh tính người dùng sẽ thay đổi. Vậy nên kẻ tấn công sẽ chỉ có một khoảng thời gian rất ngắn để làm được việc này.
Hầu hết người dùng Internet đều để lại khá nhiều dấu tích khi duyệt web, chẳng hạn như địa chỉ Internet và cookies. Tuy nhiên, kể cả những người có trình độ kỹ thuật một chút, biết sử dụng công cụ che giấu danh tính, chẳng hạn như dùng trình duyệt web riêng tư, sẽ vẫn bị theo dõi thông qua trạng thái sử dụng pin của thiết bị.
Một đoạn kịch bản (script) có thể sử dụng API trạng thái pin để theo dõi người dùng Internet nào đã xóa lịch sử duyệt web, rồi sau đó dựng lại thông tin về danh tính mà người dùng không biết tới. Quá trình này cho phép kẻ tấn công theo dõi người dùng một cách bí mật.
Máy tính của bạn có bị ảnh hưởng không?
Tuy nhiên, các nhà nghiên cứu cũng cho biết khả năng lây lan của lỗ hổng này khá thấp. Thử nghiệm tiến hành trên Firefox và Linux cho thấy khả năng tấn công còn khá thấp. Con số này thậm chí còn thấp hơn khi thử nghiệm trên Windows, OSX và Android.
"Về lý thuyết, khả năng tất công là vẫn có nếu thiết bị sử dụng API pin tiêu chuẩn", Lukasz Olejnik, một trong số các nhà nghiên cứu phát hiện ra lỗ hổng, nhận định.
Vấn đề trên cũng được báo cáo cho Firefox và hãng này đã sửa lỗi trong bản nâng cấp trình duyệt tháng 6/2015, 3 năm sau khi vấn đề trên được nêu ra.
Các nhà nghiên cứu khuyến nghị nên cải tiến các chuẩn trình duyệt để hạn chế khả năng người dùng bị theo dõi. Chẳng hạn yêu cầu trình duyệt phải hỏi quyền truy cập vào API trạng thái pin trước khi cấp phép mặc định cho chúng.
Olejnik cũng nói rằng tổ chức W3C đang cân nhắc khả năng thay thế chuẩn HTML5 để khắc phục vấn đề này.
Tuệ Minh (Tổng hợp)
