Kỹ thuật thâm nhập lỗ hổng bảo mật của ứng dụng Zalo: Bí mật không cần chấp nhận kết bạn

Phát hiện lỗ hổng bảo mật của Zalo

Mới đây, thông qua cộng đồng J2Team Community trên mạng xã hội Facebook, một sinh viên năm nhất tại Đà Nẵng đã phát hiện một lỗ hổng bảo mật độc đáo trên ứng dụng nhắn tin Zalo. Lỗ hổng này cho phép người dùng Zalo thêm bất kỳ ai làm bạn bè mà không cần sự chấp thuận.

Ảnh minh họa

Ảnh hưởng và tận dụng

Sự ảnh hưởng của lỗ hổng này là khá lớn khi cho phép người dùng tận dụng tính năng 'Chấp nhận' trên Zalo để mở rộng mạng lưới bạn bè một cách thông minh và linh hoạt. Chỉ cần biết số điện thoại, người lạ cũng có thể trở thành bạn bè trên Zalo. Thông qua việc sử dụng userID từ số điện thoại của người dùng, lỗ hổng này đã tạo ra cơ hội tiềm ẩn cho việc xâm nhập vào hệ thống Zalo một cách dễ dàng.

Khắc phục và hậu quả

Sau khi phát hiện lỗ hổng, người sinh viên năm nhất đã thông báo ngay cho đội ngũ bảo mật của Zalo. Qua đó, ngày 15/04/2024, đội ngũ bảo mật của Zalo đã khắc phục lỗ hổng này. Đoạn email chia sẻ với đội bảo mật Zalo cũng tiết lộ rằng mức độ nghiêm trọng của lỗ hổng được đánh giá ở mức 'trung bình' theo thang chấm điểm CVSS 3.0. Zalo cũng đã công nhận và đưa tên của sinh viên này vào danh sách 'Hall of Fame'.

Ảnh minh họa

Video demo trực tiếp quá trình khai thác lỗ hổng bảo mật cũng đã được chia sẻ, đem lại cái nhìn rõ ràng về cách thức thâm nhập của lỗ hổng này.

Câu chuyện về lỗ hổng bảo mật của Zalo đã một lần nữa nhấn mạnh tầm quan trọng của việc bảo vệ thông tin cá nhân và dữ liệu trực tuyến. Việc phát hiện và khắc phục những lỗ hổng bảo mật như vậy không chỉ là trách nhiệm của nhà phát triển, mà còn là sự đóng góp quan trọng để tạo ra môi trường mạng an toàn hơn cho tất cả người dùng.