Rủi ro từ các tiện ích mở rộng trình duyệt

Cài tiện ích mở rộng giống như việc bạn đưa chìa khóa vạn năng cho một người lạ chỉ vì họ hứa sẽ giúp bạn dịch văn bản hay chặn quảng cáo. Đa số chúng đều yêu cầu quyền "đọc và thay đổi dữ liệu", cho phép chúng soi mói mọi thứ từ mật khẩu đến thông tin ngân hàng bạn nhập trên trình duyệt.

Rủi ro thực sự nằm ở những bản cập nhật ngầm. Một công cụ vốn dĩ hiền lành có thể bị bán lại cho kẻ xấu, biến thành "gián điệp" nằm vùng ngay trong máy tính của bạn. Chúng âm thầm thu thập dữ liệu cá nhân hoặc chèn mã độc mà bạn chẳng hề hay biết.

Khoan, sao họ lại được phép âm thầm "đổi chủ" như vậy?

Thực tế là chẳng có hồi chuông cảnh báo nào cả. Các cửa hàng ứng dụng coi tiện ích như một tài sản cá nhân, nên việc mua bán diễn ra trong bóng tối mà không cần thông báo cho người dùng.

Khi chủ mới tiếp quản, họ chỉ cần đẩy một bản cập nhật mã độc lên hệ thống. Trình duyệt của bạn sẽ tự động tải về vì nó tin tưởng vào danh tính cũ, biến công cụ dịch thuật quen thuộc thành một kẻ trộm dữ liệu chỉ sau một đêm.

Thế các 'ông lớn' như Google hay Microsoft không kiểm duyệt gì sao?

Họ có quét, nhưng chủ yếu bằng thuật toán tự động. Nó giống như máy soi an ninh sân bay; chỉ phát hiện được "vũ khí" lộ liễu chứ khó lòng đọc được "ý đồ" đen tối ẩn sâu trong một đoạn mã trông có vẻ bình thường.

Kẻ xấu thường dùng kỹ thuật làm mờ mã hoặc cài "bom hẹn giờ" để mã độc chỉ kích hoạt sau khi đã lọt qua vòng kiểm soát. Với hàng triệu bản cập nhật mỗi ngày, việc soi từng dòng code thủ công là nhiệm vụ bất khả thi về mặt chi phí.

Làm sao mã độc biết lúc nào là 'an toàn' để phát nổ?

Nó không nổ tung kiểu khói lửa. Mã độc sẽ nằm im trong vài tuần đầu, đóng vai "công dân kiểu mẫu" để đánh lừa các đợt kiểm tra gắt gao ban đầu của hệ thống.

Sau đó, nó chỉ "thức dậy" khi gặp đúng điều kiện: ví dụ như khi bạn gõ mật khẩu ngân hàng hoặc nhận được một tín hiệu ngầm từ máy chủ của kẻ tấn công.

Cách này biến một công cụ vô hại thành "gián điệp" nằm vùng. Khi bạn nhận ra điều bất thường, dữ liệu có lẽ đã bị tuồn ra ngoài từ lâu.

Nhưng máy tính chẳng lẽ lại để nó 'nhắn tin' ra ngoài dễ vậy?

Vấn đề là nó không 'nhắn tin' theo cách lộ liễu. Mã độc thường trà trộn dữ liệu vào các luồng truy cập HTTPS hợp lệ, giống hệt cách bạn lướt Facebook hay đọc báo, khiến tường lửa không mảy may nghi ngờ.

Nó có thể ẩn lệnh điều khiển bên trong một điểm ảnh của một tấm hình hoặc một đoạn văn bản vô thưởng vô phạt trên diễn đàn. Với hệ thống, đó chỉ là một yêu cầu tải dữ liệu bình thường như bao cái khác.

Sự tinh vi này biến các công cụ bảo mật truyền thống thành 'người mù'. Chúng chỉ thấy lưu lượng truy cập tăng lên một chút, nhưng không thể biết bên trong đó là một mật lệnh đánh cắp danh tính.