17/09/2018, 21:46

Lỗ hổng Freak cho phép tin tặc đánh cắp mật khẩu và dữ liệu cá nhân

Người dùng iPhone, Android và Mac trên khắp thế giới đang phải đối mặt với một lỗ hổng bảo mật trong suốt 10 năm qua cho phép tin tặc đánh cắp mật khẩu và các dữ liệu cá nhân. Các công ty đang cố gắng vá lỗ hổng, lỗ hổng này có tên Freak. Một nhóm các nhà nghiên cứu mật mã tại INRIA, ...

freak-700x336

Người dùng iPhone, Android và Mac trên khắp thế giới đang phải đối mặt với một lỗ hổng bảo mật trong suốt 10 năm qua cho phép tin tặc đánh cắp mật khẩu và các dữ liệu cá nhân. Các công ty đang cố gắng vá lỗ hổng, lỗ hổng này có tên Freak.

Một nhóm các nhà nghiên cứu mật mã tại INRIA, Microsoft Research và IMDEA đã phát hiện ra một vài lỗ hổng nghiêm trọng trong OpenSSL client và Apple TLS/SSL client cho phép thực hiện các cuộc tấn công ‘man in the middle attacker’ (MiTM), có thể hạ cấp kết nối xuống mức bảo mật yếu trong mã hóa RSA. Các nhà nghiên cứu cho biết lỗ hổng có này tồn tại bởi chính phủ Mỹ không muốn các thiết bị mã hóa được xuất ra ngoài nước Mỹ.

Bất kì người dùng Android, iPhone hay Mac đã truy cập vào trang web chính phủ như Whitehouse.gov, NSA.gov và FBI.gov cũng như rất nhiều trang web nổi tiếng khác đều bị ảnh hưởng bởi lỗ hổng. Các nhà nghiên cứu cho biết lỗ hổng này bắt buộc trình duyệt web chấp nhận phá vỡ chuẩn bảo mật một cách dễ dàng và khiến họ có nguy cơ bị xâm hại. Khi đó, tin tặc có thể chiếm được thiết bị trong thời gian ngắn.

Để giải thích toàn bộ lỗ hổng , các nhà  nghiên cứu nhấn mạnh vào ‘export grade’ RSA, một lỗ hổng trong bảo mật của trình duyệt web cho phép đánh cắp mật khẩu và dữ liệu. Nó cũng mở ra cánh cửa cho các cuộc tấn công khác. Lỗ hổng này ảnh hưởng trên trình duyệt web Apple Safari trên iOS và Mac cũng như trình duyệt web mặc định của Android, tuy nhiên Chrome và Internet Explorer không bị ảnh hưởng.

Báo cáo cho biết Apple sẽ tung bản cập nhật cho Safari vào tuần tới. Google cũng cho biết họ đã cung cấp bản vá dành cho các nhà sản xuất điện thoại Android. Tuy nhiên vấn đề ở chỗ người dùng Android thường ít khi nhận được cập nhật từ các nhà sản xuất. Cryptography Engineering cho biết FBI.gov và Whitehouse.gov đã được sửa lỗi còn NSA.gov vẫn tồn tại lỗ hổng này.

0