Cafe Bệt

Nhịp sống trẻ mỗi ngày

Font ResizerAa
  • Thời Sự
  • Đời Sống
    • Góc Nhìn
  • Nhịp Sống Trẻ
    • Cơ Hội
    • Sự Kiện
    • Giải Trí
    • Cuộc Thi
  • Kiến Thức
    • Tài Chính
  • Kỹ Năng Sống
    • Sống Đẹp
  • Tuyển Dụng
  • Doanh Nghiệp
  • Công Nghệ
  • Thể Thao
Font ResizerAa

Cafe Bệt

Nhịp sống trẻ mỗi ngày

Search
  • Thời Sự
  • Đời Sống
    • Góc Nhìn
  • Nhịp Sống Trẻ
    • Cơ Hội
    • Sự Kiện
    • Giải Trí
    • Cuộc Thi
  • Kiến Thức
    • Tài Chính
  • Kỹ Năng Sống
    • Sống Đẹp
  • Tuyển Dụng
  • Doanh Nghiệp
  • Công Nghệ
  • Thể Thao
Have an existing account? Sign In
Follow US
© 2026 Cafe Bệt. All Rights Reserved.
Cafe Bệt > Blog > Công Nghệ > Thêm bất cứ ai làm bạn bè mà không cần chấp thuận
Công Nghệ

Thêm bất cứ ai làm bạn bè mà không cần chấp thuận

Last updated: 15/04/2024 2:34 pm
Cafe Bệt
Share
SHARE

Mới đây, qua cộng đồng J2Team Community trên MXH Facebook, một người dùng đã chia sẻ một lỗ hổng bảo mật của phần mềm nhắn tin Zalo. Lỗ hổng này cho phép người dùng Zalo có thể thêm bất cứ ai trở thành bạn bè mà không cần có sự cho phép.

Cũng như các nền tảng mạng xã hội khác, hai người dùng Zalo nếu có mối quan hệ “bạn bè” sẽ mang đến nhiều tính năng hơn so với việc chỉ là “người lạ”. Cụ thể, người dùng sẽ có thể nhắn tin, gọi điện, xem trạng thái online, xem dòng thời gian (bao gồm bài đăng, ảnh và video), bình luận vào các bài đăng… mà không cần sự đồng ý của người còn lại.

Lê Anh Trường, người đã phát hiện ra lỗ hổng, cho biết đã sử dụng các hàm API của Zalo để thực hiện điều này. Trong phần bình luận, Lê Anh Trường cho biết mình đang là sinh viên năm nhất tại một trường đại học tại Đà Nẵng.

Theo thành viên này chia sẻ, lỗ hổng được phát hiện vào đầu tháng 4/2024. Hiện chưa rõ lỗ hổng này xuất hiện từ bao giờ và đã bị khai thác trước đó hay chưa.

Sau đây là toàn bộ bài viết được Lê Anh Trường chia sẻ:

Trong thời gian từ đầu tháng 4/2024 thì mình đã phát hiện hai lỗ hổng bảo mật đáng chú ý trên Zalo:

– Khả năng kết bạn mà không cần sự đồng ý của người lạ.

Sự ảnh hưởng

– Tận dụng tính năng “Chấp nhận” trên Zalo để mở rộng mạng lưới bạn bè một cách thông minh và linh hoạt. Chỉ cần có số điện thoại, người lạ cũng có thể trở thành bạn bè trên Zalo

– Bằng cách sử dụng userID từ số điện thoại của người dùng, nếu server trả về userID, người đó sẽ được xem là sử dụng Zalo.

Chi tiết kỹ thuật:

Với các tham số sau:

– actiontime=1

– api_key=NULL

– avatarSize=120

– clientType=1

– session_key=NULL

– sign=NULL

– ts=NULL

– userId=397726729

– sig=NULL

URL: friend.talk.zing.vn/api/friend/accept

– Bằng cách gửi yêu cầu lên server dạng GET, nếu server trả về “code” : 0, đồng nghĩa với việc kết bạn thành công.

Thành viên Lê Anh Trường cũng đã đăng tải một đoạn video ngắn, demo trực tiếp quá trình khai thác lỗ hổng.

Lỗ hổng thêm bạn bè không cần cho phép trên Zalo

Sau khi phát hiện lỗ hổng, Lê Anh Trường đã thông báo với đội ngũ bảo mật của Zalo (VNG). Tới ngày 15/04/2024, đội ngũ bảo mật của Zalo đã có phản hồi, cho biết lỗ hổng đã được khắc phục. 

Đoạn email được Lê Anh Trường chia sẻ cho thấy đội ngũ bảo mật Zalo đánh giá mức độ nghiêm trọng của lỗ hổng này ở mức “trung bình”, ở mức 5.3 điểm theo thang chấm điểm CVSS 3.0. Zalo sẽ đưa tên của bạn Lê Anh Trường vào danh sách “Hall of Fame” (danh sách những người đã có đóng góp). 

Sinh viên năm nhất phát hiện lỗ hổng bảo mật của Zalo: Thêm bất cứ ai làm bạn bè mà không cần chấp thuận- Ảnh 1.

Đoạn email với đội ngũ bảo mật của Zalo được Lê Anh Trường chia sẻ

Nhiều tập đoàn/công ty lớn trong lĩnh vực IT có chương trình báo cáo lỗi (bug bounty) khi người dùng phát hiện ra lỗ hổng bảo mật của phần mềm. Tuy nhiên, đoạn email không đề cập tới việc bạn Lê Anh Trường có nhận được khoản tiền thưởng nào cho đóng góp của mình hay không. Trong phần bình luận, người dùng này sau đó xác nhận về việc không nhận được tiền thưởng khi báo cáo lỗ hổng này.

Sinh viên năm nhất phát hiện lỗ hổng bảo mật của Zalo: Thêm bất cứ ai làm bạn bè mà không cần chấp thuận- Ảnh 2.
Sinh viên năm nhất phát hiện lỗ hổng bảo mật của Zalo: Thêm bất cứ ai làm bạn bè mà không cần chấp thuận- Ảnh 3.

Nguồn tin: https://genk.vn/sinh-vien-nam-nhat-phat-hien-lo-hong-bao-mat-cua-zalo-them-bat-cu-ai-lam-ban-be-ma-khong-can-chap-thuan-20240415141532626.chn

Share This Article
Email Copy Link Print
Previous Article Tháo dỡ xong khách sạn 12 tầng xây sai phép ở Phú Quốc
Next Article Những quả mọng vừa ngon, vừa giúp giảm axit uric

Nhịp sống trẻ mỗi ngày!

Cùng cập nhật những tin tức nóng hổi, đa dạng về kinh tế, xã hội, văn hóa và giải trí. Đón nhận nhịp sống trẻ, năng động, và sáng tạo mỗi ngày.
FacebookLike
XFollow
PinterestPin
InstagramFollow
YoutubeSubscribe
TiktokFollow
- Advertisement -
Ad image

Đang được quan tâm

Nét trong trẻo của 'Khuê nữ quốc dân' Quan Hiểu Đồng

"Khuê nữ quốc dân "Quan Hiểu Đồng có đường nét trong trẻo, được ví như…

By Cafe Bệt

Hề Mộng Dao và con trai 'Vua sòng bạc' đón khách dự cưới

Siêu mẫu Trung Quốc Hề Mộng Dao và chồng - Hà Du Quân - đón…

By Cafe Bệt

Vietcombank đồng hành cùng Cục Thuế hỗ trợ hộ kinh doanh và hưởng ứng Ngày Tài chính số 2026

Vietcombank hợp tác cùng Cục Thuế thúc đẩy nộp thuế điện tử, thanh toán không…

By Cafe Bệt

Tin liên quan

Công Nghệ

Hóa ra AI có thể bị “mục não” như con người khi xem quá nhiều TikTok

By Cafe Bệt
Công Nghệ

Sony sắp ra mắt cảm biến 200MP cạnh tranh với Samsung, đã có 2 “khách sộp” Vivo và OPPO

By Cafe Bệt
Công Nghệ

Microsoft phát cảnh báo đến người dùng vẫn chưa chịu rời Windows 10

By Cafe Bệt
Công Nghệ

Video AI gây lo ngại

By Cafe Bệt
Go to mobile version
Welcome Back!

Sign in to your account

Username or Email Address
Password

Lost your password?