Hiện nay, một lỗ hổng bảo mật phổ biến có tên là FREAK đang gây ảnh hưởng đến rất nhiều cư dân mạng, đặc biệt là những người sử dụng Google Android và Apple iPhone Safari.

FREAK có nghĩa là nỗi khiếp sợ nhưng bạn đừng để nó khiến bạn phải khiếp sợ. Mặc dù có rất nhiều website và thiết bị có chứa lỗ hổng, nhưng để tiến hành một cuộc tấn công FREAK không phải chuyện đơn giản và các phần mềm xử lí vấn đề này hiện đang được phát triển.

FREAK lỗ hổng bảo mật nghiêm trọng trên các thiết bị iOS Mac và Android

FREAK được Viện nghiên cứu Khoa học máy tính và Tự động hóa Pháp cùng Microsoft phát hiện ra. Lỗ hổng này ảnh hưởng đến giao thức bảo mật SSL và TLS, (là các giao thức mật mã nhằm mục đích bảo mật sự vận chuyển trênInternet). Cụ thể là, người mã hóa đã phát hiện ra các vấn đề nằm trong OpenSSL được sử dụng trong trình duyệt Android Chrome và Safari. Bất cứ ai cùng dùng chung mạng đều có thể trở thành mục tiêu. Tin tặc có thể dùng bọ (bug) để giảm mức độ mã hóa được sử dụng giữa một trình duyệt và một trang web được bảo vệ bởi HTTPS và biến nó thành một trang yếu hơn đến mức có thể crack được.

Vấn đề là gì?

Vấn đề phát sinh từ cách đây nhiều năm, khoảng những năm 1990, khi các công ty Mỹ được yêu cầu bí mật làm yếu đi mức mã hóa theo quy định của chính phủ Mỹ về cấm xuất khẩu các thuật toán mã hóa tốt hơn. Vào lúc đó, độ dài một mã khóa cho phép tối là 512 bits, ngày nay mã khóa này dễ dàng bị bẻ gãy. Theo chuyên gia mã hóa Matthew Green, người dạy về mã hóa tại Đại học John Hopkins, chính phủ Mỹ đã yêu cầu điều này để NSA có thể truy cập vào các phương tiện liên lạc của nước ngoài mà vẫn tỏ ra là quốc gia này luôn cố gắng đưa mã khóa đến cho mọi người.

Giáo sư Ross Anderson, người đã xây dựng nhóm mã hóa tại trường Đại học Cambridge, đã chứng kiến “trường hợp đầu tiên về lỗi bảo mật này vào khoảng năm 1994 hoặc 1995 khi một nhân viên của Microsoft phát hiện ra một cuộc tấn công trên SSL. Vào lúc đó, Netscape là một đối thủ của Microsoft, vì vậy Microsoft đã lục lọi các lỗi của họ để có thể “mách” với các cơ quan quản lí tiêu chuẩn”.

Khi việc mã hóa web trở nên tốt hơn với các từ khóa dài hơn và mạnh hơn, những kẻ tấn công cũng gặp khó khăn hơn khi muốn bẻ các khóa này. Sau khi không thể ép các quốc gia khác sử dụng như loại mã khóa yếu, chính phủ Mỹ dường như đã không còn có thể theo dõi việc liên lạc trên các website của mọi người bằng hình thức này.

Nhưng vẫn có một vẫn đề rõ ràng và ảnh hưởng đến tận ngày nay, đó là: một số trình duyệt và máy chủ web vẫn được lập trình để chấp nhận những loại mã hóa yếu này. Chức năng bảo vệ được đặt lên vai những yếu tố như OpenSSL và người phát triển trình duyệt. Nhưng do một lỗi nào đó trong quá trình thực hiện việc mã hóa RSA, kẻ tấn công có thể lừa các trình duyệt kết nối vào những website mã hóa bằng các mã 512 bit.

FREAK lỗ hổng bảo mật nghiêm trọng trên các thiết bị iOS Mac và Android

Để thực hiện một vụ tấn công sử dụng lỗ hổng này, kẻ tấn công sẽ đến một trang bị ảnh hưởng, tìm ra các phần mã hóa yếu của nó và sau đó crack các mã đó. Với mã hóa đã được crack, tin tặc có thể sử dụng mạng đó, ở giữa một trình duyệt có lỗ hổng và máy chủ của trang để chặn việc liên lạc của mục tiêu với trang đó và nhìn thấy tất cả mọi thứ ở định dạng không được mã hóa.

Các hacker cũng có thể thay đổi nội dung như ý muốn và còn có thể đánh lừa người sử dụng trao cho chúng các dữ liệu như tài khoản và mật khẩu. Điều đáng lo là: để tạo ra một mã khóa yếu không quá khó khăn. Nhà nghiên cứu Nadia Heninger từ Đại học Pennsylvinia đã nhận ra ông có thể tạo ra một mã 512 bit chỉ trong vòng 7,5 giờ với 104 USD bằng cách sử dụng Amazon Web Services.

Những trang web nào bị ảnh hưởng?

Để tạo ra một cuộc tấn công, bạn cần phải có một máy khách có bọ được kết nối vào các website chấp nhận các loại mã hóa ở mức yếu này. 12,2% các trang trong top 1 triệu trang trên Alexa chấp nhận các mã hóa yếu này. Hầu hết các trang này đều được hỗ trợ CDN (là mạng lưới gồm nhiều máy chủ lưu trữ đặt tại nhiều vị trí địa lí khác nhau, cùng làm việc chung để phân phối nội dung, truyền tải hình ảnh, CSS, Javascript, video clip, Real-time media streaming, file download đến người dùng cuối. Cơ chế hoạt động của CDN giúp cho khách hàng truy cập nhanh vào dữ liệu máy chủ web gần họ nhất thay vì phải truy cập vào dữ liệu máy chủ web tại trung tâm dữ liệu), bao gồm một trong những trang lớn nhất thế giới như Akamai.

Rất nhiều các công ty tài chính cũng bị ảnh hưởng, bao gồm American Express, các công ty truyền thông như Business Insider, Bloomberg. Nhiều website chính phủ như whitehouse.gov, nsa.gov và các trang của FBI như tips.fbi.gov cũng bị ảnh hưởng.

Thiết bị của tôi có bị ảnh hưởng không?

FREAK lỗ hổng bảo mật nghiêm trọng trên các thiết bị iOS Mac và Android

Nghe có vẻ đáng sợ nhưng trên thực tế, có nhiều cách dễ hơn để các hacker săm soi cuộc sống trên mạng của bạn. Muốn bắt đầu, một hacker FREAK phải tìm thấy một mục tiêu sử dụng các máy tính, điện thoại hoặc máy tính bảng dễ bị tổn thương và hi vọng các thiết bị này sử dụng các trang bị ảnh hưởng. Ngoài ra, những thiết bị này cùng hacker phải dùng chung một mạng.

Vậy những phần mềm nào dễ bị tổn thương? Theo chuyên gia mã hóa Green Matthew, trình duyệt Safari trên tất cả các thiết bị của Apple, bao gồm iPhone, Mac, iPad cũng như các trình duyệt sử dụng OpenSSL trên Android đều là những phần mềm dễ bị tổn thương trước các cuộc tấn công FREAK. 255 website của Việt Nam cũng có nguy cơ bị tấn công bởi lỗ hổng bảo mật này. Google hiện vẫn chưa đưa ra lời phản hồi nào trước yêu cầu bình luận. Một phát ngôn viên của Apple xác nhận hãng đang tiến hành sửa chữa lỗi này: “Chúng tôi có một bản sửa lỗi trên iOS và OS X và sẽ cho phép cập nhật trong tuần tới”.

Một bản sửa lỗi OpenSSL đã được đưa ra từ tháng 1 nhưng những nhà sản xuất Android mất khá nhiều thời gian để đưa ra các bản cập nhật, vì vậy sẽ mất một thời gian nữa thì những người sử dụng Android mới được an toàn trước nguy cơ tấn công FREAK.

Ngoài cách cập nhật trình duyệt khi có bản sửa lỗi, sử dụng mạng riêng ảo (VPN) cũng là một cách để tránh các cuộc tấn công này. Nếu không, bạn chỉ còn cách hi vọng không có ai muốn soi mói bạn và đừng sử dụng các mạng Wi-Fi công cộng không đáng tin.

Ông Green tổng kết lại một bài học quan trọng nhất đó là: Việc làm yếu các mã khóa là những hành động từ những năm 1980 để giúp các cơ quan tình báo có thể giám sát các hoạt động của những quốc gia khác. Tuy nhiên đây là một cách sai lầm, quá sai lầm khiến chúng ta vẫn phải chịu ảnh hưởng cho đến ngày nay.

Theo: Thongtincongnghe
Bạn đang trả lời thảo luận của: ( Thôi )

(Vui lòng đăng nhập trước để có thể gửi thảo luận, chia sẻ kinh nghiệm hoặc đặt câu hỏi)

Tin Game | 08-03-2015
Nếu bạn là fan cuồng của tựa game đình đám Skyrim trên PC thì chắc hẳn sẽ không muốn bỏ qua những game mobile tương tự dưới đây đâu.
Tin Tức | 08-03-2015
Samsung Vina vừa giới thiệu ra thị trường Việt Nam máy tính bảng Galaxy Tab3 V, chiếc máy dành cho nhu cầu học tập của trẻ từ 3 đến 18 tuổi.
Tin Tức | 08-03-2015
Mặc dù mới ra mắt nhưng Galaxy S6 có vẻ như đã gặp một chút vấn đề về màn hình cảm ứng.
Tin Tức | 08-03-2015
Mới đây, trang Twitter chính thức của Sony Xperia đã thông báo rằng tất cả các sản phẩm Xperia không thuộc dòng Z (như Xperia M, Xperia C hay Xperia E)...
Tin Tức | 07-03-2015
Tại MWC 2015 đang diễn ra tại Tây Ban Nha, Wiko trưng bày 2 mẫu smartphone thiết kế mỏng, thời trang nhiều khả năng sẽ bán tại Việt Nam trong thời gian...
Tin Tức | 07-03-2015
Nếu như ai đó thực sự nghĩ rằng hãng nắm giữ đế chế Symbian đã thực sự suy tàn thì có lẽ họ sẽ phải thay đổi cách suy nghĩ của mình khi Nokia mới đây đ...
Tin Tức | 07-03-2015
Ở mức giá rẻ, lại được tích hợp nhiều tính năng tiện ích, những chiếc máy tính bảng dưới đây là sự lựa chọn của nhiều người dùng hiện nay.
Tin App | 07-03-2015
Việc đọc ebook đang ngày càng trở nên dễ dàng hơn với các loại thiết bị di động, bên cạnh đó, có không ít phần mềm phục vụ nhu cầu này, dưới đây sẽ là...