Hàng triệu người dùng smartphone bị ảnh hưởng bởi lỗ hổng HeartBleed

Lỗ hổng HeartBleed đã để lại một ấn tượng cực kỳ xấu trên toàn cầu, ảnh hưởng đến hàng triệu website và khiến hàng triệu người sử dụng smartphone và máy tính bảng đối mặt với những rủi ro lớn.

HeartBleed là một lỗ hổng nguy hiểm (CVE-2014-0160) trong gói phần mềm nguôn mở OpenSSL, đang được rất nhiều website sử dụng, lỗ hổng HeartBleed đang nằm trong các triển khai mã nguồn mở của 2 giao thức TLS/DTLS mở rộng của OpenSSL, cho phép kẻ tấn công có thể đọc được một phần thông tin, dữ liệu từ bộ nhớ của các máy chủ bị tấn công (khoảng 64KB), và có khả năng đánh cắp được những dữ liệu của người dùng như tên tài khoản, mật khẩu, số tài khoản.

OpenSSL là phần mềm nguồn mở được sử dụng rộng rãi, dùng để triển khai giao thức SSL và TLS, bảo vệ các cuộc giao tiếp trên Internet và bảo vệ hầu hết các website sử dụng giao thức SSL hoặc TLS. Khoảng 40-60 triệu ứng dụng smartphone đang chia sẻ chung một vài máy chủ hoặc kết nối với một nhóm máy chủ cũng có thể bị nhiễm lỗ hổng bảo mật này.

Các thiết bị Android

Google đăng một bài mới trên blog Online Security vào thứ tư đã nhấn mạnh rằng thiết bị Android không bị nhiễm lỗ hổng bảo mật HeartBleed ngoại trừ một phiên bản rất đặc biệt và bạn có thể đoán được phiên bản đặc biệt này là gì không? Android 4.1.1 Jelly Bean, một trong những phiên bản chiếm số lượng lớn trong các thiết bị Android trên toàn thế giới.

Google không tiết lộ những con số thực các thiết bị bị nhiễm lỗ hổng, nhưng theo một báo cáo mới nhất được Google đưa ra, ước tính có khoảng 34.4% các thiết bị Android hiện nay đang chạy phiên bản 4.1.x. Thậm chí tháng 9 năm ngoái, Google còn công bố rằng phiên bản Android này được sử dụng trên một tỷ thiết bị. Điều này có nghĩa con số tối thiểu các thiết bị bị nhiễm lỗ hổng là khoảng vài trăm triệu.

Hiện tại, Google đã phát hành những bản vá khắc phục lỗ hổng HeartBleed cho phiên bản Android 4.1.1.

Các thiết bị Apple

Những người sử dụng thiết bị của Apple có thể ung dung rằng các thiết bị của họ đang sử dụng hệ điều hành iOS và OS X nên không bị ảnh hưởng bởi hầu hết những lỗ hổng bảo mật nguy hiểm như HeartBleed.

Apple cho biết: “Apple tuân thủ bảo mật cực kỳ nghiêm ngặt. IOS và OS X không bao giờ chứa các các phần mềm và dịch vụ web đặc biệt gây hại”.

Thay vì sử dụng OpenSSL, Apply tin tưởng sử dụng các thư viện SSL/TSL khác nhau được gọi là Secure Transport, giao thức này đã bị phá vỡ bởi lỗ hổng bảo mật cực kỳ nghiêm trọng vào tháng 2, được gọi là các cuộc tấn công MitM, mặc dù lỗ hổng này không nguy hiểm như HeartBleed trong OpenSSL.

Tuy nhiên người dùng các thiết bị Apple vẫn chưa hoàn toàn tránh được các nguy cơ từ lỗ hổng này vì khi người dùng sử dụng BBM dùng để gửi tin nhắn cá nhân trên iOS thì có thể gặp nguy hiểm từ hỗ hổng bảo mật này.

Các thiết bị Blackberry

Blackberry xác nhận rằng một vài sản phẩm của họ bao gồm Secure Work Space cho iOS và Android, và Blackberry Link cho Windows và Mac OS, thậm chí BBM cho iOS và Android đã gặp nguy hiểm từ lỗ hổng bảo mật HeartBleed. Các con số thống kê cho biết có khoảng 80 triệu người sử dụng dịch vụ BBM.

Họ cũng chắc chắn rằng các thiết bị thông minh của Blackberry như máy tính bảng, BlackBerry Enterprise Server 5, BlackBerry Enterprise Server 10 và BlackBerry Infrustructure không bị ảnh hưởng bởi lỗ hổng bảo mật này và đã được bảo vệ tuyệt đối.

Nguồn: thehackernews.com