Mới đây, thông qua cộng đồng Cộng đồng J2Team Trên Facebook, một người dùng chia sẻ lỗ hổng bảo mật trong phần mềm nhắn tin Zalo. Lỗ hổng này cho phép người dùng Zalo thêm bất kỳ ai làm bạn bè mà không được phép.
Giống như các nền tảng mạng xã hội khác, nếu hai người dùng Zalo có mối quan hệ “bạn bè” sẽ mang lại nhiều tính năng hơn là chỉ là “người lạ”. Cụ thể, người dùng sẽ có thể nhắn tin, gọi điện, xem trạng thái trực tuyến, xem dòng thời gian (bao gồm bài viết, ảnh và video), bình luận về bài đăng… mà không cần sự đồng ý của người dùng. người còn lại.
Lê Anh Trường, người phát hiện ra lỗ hổng, cho biết anh đã sử dụng chức năng API của Zalo để thực hiện việc này. Ở phần bình luận, Lê Anh Trường cho biết anh là sinh viên năm thứ nhất một trường đại học ở Đà Nẵng.
Theo thành viên này, lỗ hổng được phát hiện vào đầu tháng 4 năm 2024. Hiện chưa rõ lỗ hổng này xuất hiện khi nào và liệu nó đã bị khai thác trước đó hay chưa.
Dưới đây là toàn bộ bài viết được chia sẻ bởi Lê Anh Trường:
Từ đầu tháng 4 năm 2024, tôi phát hiện ra 2 lỗ hổng bảo mật đáng chú ý trên Zalo:
– Khả năng kết bạn mà không cần sự đồng ý của người lạ.
Sự yêu mến
– Tận dụng tính năng “Chấp nhận” trên Zalo để mở rộng mạng lưới bạn bè một cách thông minh và linh hoạt. Chỉ cần có số điện thoại, người lạ cũng có thể trở thành bạn bè trên Zalo
– Bằng cách sử dụng userID từ số điện thoại của người dùng, nếu máy chủ trả về userID thì người đó sẽ được xem xét sử dụng Zalo.
Thông số kỹ thuật:
Với các thông số sau:
– thời gian hành động=1
– api_key=NULL
– kích thước avatar=120
– loại khách hàng=1
– session_key=NULL
– ký hiệu=NULL
– ts=KHÔNG
– userId=397726729
– sig=KHÔNG
URL:friend.talk.zing.vn/api/friend/accept
– Bằng cách gửi yêu cầu GET tới máy chủ, nếu máy chủ trả về “code”: 0 nghĩa là kết nối bạn bè đã thành công.
Thành viên Lê Anh Trường còn đăng tải đoạn video ngắn trực tiếp demo quá trình khai thác lỗ hổng.
Lỗi thêm bạn bè không xin phép trên Zalo
Sau khi phát hiện lỗ hổng, Lê Anh Trường đã thông báo cho đội bảo mật Zalo (VNG). Đến ngày 15/4/2024, đội bảo mật của Zalo phản hồi cho biết lỗ hổng đã được vá.
Email được Lê Anh Trường chia sẻ cho thấy đội ngũ bảo mật Zalo đánh giá mức độ nghiêm trọng của lỗ hổng này ở mức “trung bình”, ở mức 5,3 điểm theo thang điểm CVSS 3.0. Zalo sẽ ghi tên bạn Lê Anh Trường vào danh sách “Hall of Fame” (danh sách những người đã đóng góp).
Nhiều tập đoàn/công ty lớn trong lĩnh vực CNTT có chương trình bug bonus khi người dùng phát hiện ra lỗ hổng bảo mật phần mềm. Tuy nhiên, email không đề cập đến việc Lê Anh Trường có nhận được tiền thưởng gì cho đóng góp của mình hay không. Trong phần bình luận, người dùng này sau đó đã xác nhận về việc không nhận được tiền thưởng khi báo cáo lỗ hổng này.
Link nguồn: https://cafef.vn/sinh-vien-nam-nhat-phat-hien-lo-hong-bao-mat-cua-zalo-them-bat-cu-ai-lam-ban-be-ma-khong-can-chap-thuan-188240416084605697.chn