Sinh viên năm nhất phát hiện lỗ hổng bảo mật của Zalo: Thêm bất cứ ai làm bạn bè mà không cần chấp thuận

Thứ 2, 15/04/2024 14:07
Hiện tại lỗ hổng này đã được VNG/Zalo ghi nhận và khắc phục.

Mới đây, qua cộng đồng J2Team Community trên MXH Facebook, một người dùng đã chia sẻ một lỗ hổng bảo mật của phần mềm nhắn tin Zalo. Lỗ hổng này cho phép người dùng Zalo có thể thêm bất cứ ai trở thành bạn bè mà không cần có sự cho phép.

Cũng như các nền tảng mạng xã hội khác, hai người dùng Zalo nếu có mối quan hệ "bạn bè" sẽ mang đến nhiều tính năng hơn so với việc chỉ là "người lạ". Cụ thể, người dùng sẽ có thể nhắn tin, gọi điện, xem trạng thái online, xem dòng thời gian (bao gồm bài đăng, ảnh và video), bình luận vào các bài đăng... mà không cần sự đồng ý của người còn lại.

Lê Anh Trường, người đã phát hiện ra lỗ hổng, cho biết đã sử dụng các hàm API của Zalo để thực hiện điều này. Trong phần bình luận, Lê Anh Trường cho biết mình đang là sinh viên năm nhất tại một trường đại học tại Đà Nẵng.

Theo thành viên này chia sẻ, lỗ hổng được phát hiện vào đầu tháng 4/2024. Hiện chưa rõ lỗ hổng này xuất hiện từ bao giờ và đã bị khai thác trước đó hay chưa.

Sau đây là toàn bộ bài viết được Lê Anh Trường chia sẻ:

Trong thời gian từ đầu tháng 4/2024 thì mình đã phát hiện hai lỗ hổng bảo mật đáng chú ý trên Zalo:

- Khả năng kết bạn mà không cần sự đồng ý của người lạ.

Sự ảnh hưởng

- Tận dụng tính năng "Chấp nhận" trên Zalo để mở rộng mạng lưới bạn bè một cách thông minh và linh hoạt. Chỉ cần có số điện thoại, người lạ cũng có thể trở thành bạn bè trên Zalo

- Bằng cách sử dụng userID từ số điện thoại của người dùng, nếu server trả về userID, người đó sẽ được xem là sử dụng Zalo.

Chi tiết kỹ thuật:
Với các tham số sau:

- actiontime=1

- api_key=NULL

- avatarSize=120

- clientType=1

- session_key=NULL

- sign=NULL

- ts=NULL

- userId=397726729

- sig=NULL

URL: friend.talk.zing.vn/api/friend/accept

- Bằng cách gửi yêu cầu lên server dạng GET, nếu server trả về "code" : 0, đồng nghĩa với việc kết bạn thành công.

Thành viên Lê Anh Trường cũng đã đăng tải một đoạn video ngắn, demo trực tiếp quá trình khai thác lỗ hổng.

Lỗ hổng thêm bạn bè không cần cho phép trên Zalo

Sau khi phát hiện lỗ hổng, Lê Anh Trường đã thông báo với đội ngũ bảo mật của Zalo (VNG). Tới ngày 15/04/2024, đội ngũ bảo mật của Zalo đã có phản hồi, cho biết lỗ hổng đã được khắc phục. 

Đoạn email được Lê Anh Trường chia sẻ cho thấy đội ngũ bảo mật Zalo đánh giá mức độ nghiêm trọng của lỗ hổng này ở mức "trung bình", ở mức 5.3 điểm theo thang chấm điểm CVSS 3.0. Zalo sẽ đưa tên của bạn Lê Anh Trường vào danh sách "Hall of Fame" (danh sách những người đã có đóng góp). 

Sinh viên năm nhất phát hiện lỗ hổng bảo mật của Zalo: Thêm bất cứ ai làm bạn bè mà không cần chấp thuận- Ảnh 1.

Đoạn email với đội ngũ bảo mật của Zalo được Lê Anh Trường chia sẻ

Nhiều tập đoàn/công ty lớn trong lĩnh vực IT có chương trình báo cáo lỗi (bug bounty) khi người dùng phát hiện ra lỗ hổng bảo mật của phần mềm. Tuy nhiên, đoạn email không đề cập tới việc bạn Lê Anh Trường có nhận được khoản tiền thưởng nào cho đóng góp của mình hay không. Trong phần bình luận, người dùng này sau đó xác nhận về việc không nhận được tiền thưởng khi báo cáo lỗ hổng này.

Sinh viên năm nhất phát hiện lỗ hổng bảo mật của Zalo: Thêm bất cứ ai làm bạn bè mà không cần chấp thuận- Ảnh 2.

Sinh viên năm nhất phát hiện lỗ hổng bảo mật của Zalo: Thêm bất cứ ai làm bạn bè mà không cần chấp thuận- Ảnh 3.

Bình Minh

Cùng chuyên mục

Công Phượng lỡ hẹn với tuyển Việt Nam, HLV Kim Sang-sik gọi lại dàn cựu binh thời thầy Park

Thứ 7, 25/05/2024 14:04
HLV Kim Sang-sik quyết định không triệu tập Công Phượng do cầu thủ này chấn thương. Đáng chú ý, ông Kim sẽ gọi trở lại một số cái tên từng lên tuyển dưới thời HLV Park Hang-seo.

Nhiều người đi xe mô tô bị CSGT xử phạt vì lý do không ngờ tới

Thứ 7, 25/05/2024 14:01
Cảnh sát giao thông TPHCM đã xử phạt nhiều người vi phạm lỗi gắn biển số bẻ cong, bị che lấp trong đợt tổng kiểm tra, xử lý xe mô tô phân khối lớn vi phạm trên địa bàn.

Báo châu Á đưa tin 2 đại học Việt Nam được "rao bán" gần nửa tỷ USD: Doanh thu nghìn tỷ, học phí "đại gia"

Thứ 7, 25/05/2024 13:55
Một trang tin chuyên đầu tư quốc tế cho rằng một tập đoàn giáo dục đang muốn bán hai trường đại học để thu về 200 triệu USD mỗi trường.

Rò rỉ hình ảnh và lối chơi từ game mới nhất của Valve, phá trụ, farm lính theo phong cách bắn súng

Thứ 7, 25/05/2024 13:53
Tựa game mới này từ phía Valve hiện vẫn đang là chủ đề thu hút rất nhiều sự chú ý.

Hanwha Life tổ chức Global Fan Fest tại Việt Nam

Thứ 7, 25/05/2024 13:49
Đội tuyển HLE sẽ có lần đầu gặp gỡ và giao lưu trực tiếp với fan Esports và LMHT tại Việt Nam.
     
Nổi bật trong ngày

Nóng: Cháy nhà trọ ở quận Cầu Giấy, 14 người tử vong

Thứ 6, 24/05/2024 05:41
Căn nhà trọ cao tầng ở phố Trung Kính cháy dữ dội trong đêm, nhiều thi thể được lực lượng chức năng đưa ra ngoài.

Chuyên gia nói động cơ V6 mới trên Toyota Land Cruiser 300 và Lexus LX600 'không bền'

Thứ 6, 24/05/2024 07:09
Nhiều chuyên gia về kỹ thuật lo ngại động cơ V6 3.4L trên những mẫu xe như Toyota Land Cruiser 300 và Lexus LX600 không bền bỉ như động cơ V8 trước đó.

Chủ trọ cùng con dâu, 2 cháu nội trong vụ cháy ở Trung Kính được giải cứu kịp thời, đưa ra ngoài

Thứ 6, 24/05/2024 09:21
Thời điểm xảy ra cháy, có 2 sinh viên thuê trọ gần hiện trường đã đập tường, mang thang dây trèo lên các ô cửa sổ để giải cứu các nạn nhân.

Một trong những game thủ nổi danh nhất thế giới được tặng xe Mercedes mui trần tùy biến độc bản toàn cầu

Thứ 6, 24/05/2024 10:25
Faker - game thủ có lẽ là nổi tiếng bậc nhất làng thể thao điện tử toàn cầu hiện tại đã được Riot hứa thưởng cho một chiếc Mercedes-AMG SL 'thửa riêng'.

Cô gái thoát nạn vụ cháy ở Trung Kính nhờ đi uống nước với bạn về muộn, chủ nhà khóa cổng không vào được

Thứ 6, 24/05/2024 11:21
Đến 6h30 sáng, cô gái mới biết nhà trọ của mình xảy ra biến cố.
xe.nguoiduatin.vn