Mật khẩu tài khoản MyBitdefender có khả năng bị tiết lộ

Một nhà nghiên cứu tuyên bố ông đã tìm thấy 2 vấn đề bảo mật có thể xuất phát từ phiên bản mới nhất của Bitdefender Internet Security khi tương tác với giao diện điều khiển web MyBitdefender, cho phép tiết lộ mật khẩu đăng nhập tài khoản của người dùng.

MyBitdefender là một bảng điều khiển trực tuyến trong đó người dùng có thể kiểm tra trạng thái bảo vệ hiện có của tất cả các cài đặt Bitdefender liên quan đến tài khoản của họ, cho cả máy tính để bàn và các thiết bị di động.

Tùy thuộc vào sản phẩm, có những lựa chọn cho nội địa hóa thiết bị bị đánh cắp và khóa chúng, quản lý sao lưu dữ liệu hoặc thiết lập các hạn chế hướng dẫn.

Trong một bài viết trên blog được đăng tải vào ngày thứ tư (4/2), nhà nghiên cứu, có tên gọi là Jerold, mô tả hai phương pháp đã được sử dụng, một cho việc đảo chiều các bản hash mật khẩu và một kỹ thuật cho việc brute-forcing mật khẩu của một người trong tài khoản.

Bằng cách kiểm tra thông tin liên lạc giữa sản phẩm chống virus và giao diện quản trị trực tuyến, ông nhận thấy rằng MD5 hash của mật khẩu đã có sẵn trong liên kết. Chức năng của MD5 hash có mục đích tạo ra cùng kết quả từ nội dung cụ thể, mà không đưa ra khả năng đảo ngược lại quá trình.

Vì cùng một dữ liệu sẽ tạo ra kết quả đầu ra tương tự, một người nào đó có thể sử dụng một từ điển với mật khẩu và tính toán các hash cho mỗi phần tử trong số chúng cho đến khi tìm thấy giá trị mục tiêu thích hợp, do đó sẽ có thể tiết lộ các đầu vào ban đầu.

Trừ khi các mật khẩu đủ mạnh, dựa trên MD5 không phải là một cách đặc biệt an toàn để bảo vệ dữ liệu.

Kết nối được mã hóa với TLS 1.2

Tuy nhiên, Bitdefender mã hóa kết nối đến cổng MyBitdefender của nó, thậm chí nếu bị chặn trên đường, nó không thể đọc được và kẻ tấn công sẽ không có bất kỳ cách sử dụng nào để có thể xem nó.

Bogan Botezatu, nhà phân tích mối nguy hiểm cấp cao của Bitdefender cho biết: “Chúng tôi đã nhìn vào vấn đề được mô tả và chúng tôi đã không thể tái tạo nó. Thông tin liên lạc giữa các máy con (dù là các trình duyệt hoặc các sản phẩm Bitdefender) và dịch vụ my.bitdefender.com được thực hiện thông qua TLS v1.2. Kẻ tấn công không thể nào đánh chặn nội dung và giải mã nó để có được mật khẩu hash khi lưu thông”.

Mặc dù giải mã lưu lượng an toàn từ một máy con đến một máy chủ là có thể, nếu máy tính đã bị xâm nhập bởi phần mềm độc hại và móc vào trình duyệt, trong cái được gọi là tấn công man-in-the-browser (MitB).

Qua MitB, tội phạm đe dọa trực tiếp đến các thông tin trong bộ nhớ của trình duyệt, nơi nó không được mã hóa và họ có thể thao tác với lưu lượng mạng để đưa cho nạn nhân các nội dung độc hại mà có vẻ hợp pháp và không bị nghi ngờ.

Vấn đề thứ hai Jerold đề cập đến là khả năng có một cuộc tấn công brute-force vào trang log-in của MyBitdefender, cũng có tính năng kết nối an toàn.

Nhà nghiên cứu chỉ ra rằng không có giới hạn cho số lượng nỗ lực đăng nhập thất bại, điều này cho thấy cơ chế log-in có thể bị lạm dụng áp dụng brute-force, với điều kiện những kẻ tấn công đã biết tên người dùng của các nạn nhân.

Theo Botezatu, Bitdefender có một cơ chế bảo vệ tại chỗ mà có thể block tạm thời những nỗ lực xác thực đến từ các địa chỉ IP giống nhau.

Softpedia