Microsoft, Apple, Google lo sợ trước lỗi bảo mật Freak

Lỗi bảo mật "Freak" đe dọa nhiều triệu thiết bị, từ PC đến smartphone, tablet Apple, Microsoft, Google và nhiều triệu website. Xem cách kiểm tra, phòng tránh.

Đe dọa người dùng PC lẫn di động

Vài trăm triệu người dùng máy tính Windows và Mac, thiết bị di động Apple, Android... gặp nguy hiểm trước các cuộc tấn công khai thác lỗi bảo mật mang tên "Freak". 


Người dùng vẫn có thể bị hack qua lỗi này khi truy cập vào một trong nhiều triệu website có chế độ bảo mật (HTTPS), bao gồm cả website Nhà trắng hay FBI hoặc chỉ đơn thuần nhấn nút "Like" của Facebook khi xem tin trên một trang web. 

"Một khi bị hack, người dùng có thể bị đánh cắp dữ liệu trao đổi giữa thiết bị của họ với máy chủ dịch vụ/web có dùng chế độ mã hóa, như mật khẩu tài khoản, thông tin cá nhân, hoặc bị lợi dụng để tấn công các website khác. Sau đó, dữ liệu có thể được giải mã. Ngoài ra, Hacker còn có thể nhúng mã độc vào máy tính nạn nhân."

 
Lỗi bảo mật "Freak" được chín chuyên gia bảo mật khám phá và công bố ngày 3-3, đang làm "chấn động" giới công nghệ, gây lo lắng cho các hãng sản xuất phần cứng lẫn phần mềm do mức độ nguy hiểm và phạm vi ảnh hưởng.

Ban đầu, lỗi được cho là chỉ gây ảnh hưởng đến thiết bị di động dùng hệ điều hành Apple iOS gồm iPhone, iPod Touch và iPad, cùng máy Mac, và trình duyệt web mặc định trong hệ điều hành Google Android. 

Tuy nhiên, chỉ vài ngày sau, giới công nghệ lẫn các cơ quan chính phủ thêm "hốt hoảng" khi Microsoft chính thức xác nhận máy tính dùng Windows cũng bị đe dọa bởi lỗi "Freak", làm gia tăng số lượng thiết bị trong tầm "bị tấn công" của lỗi Freak gia tăng lên vài trăm triệu.

"Những website vướng lỗi có thể bị "bẻ khóa" mã hóa chỉ trong 7 giờ qua các hệ thống máy tính điện toán có thể thuê như Amazon EC2 với giá 104 USD. Theo đó, các cuộc tấn công có thể bắt đầu bởi bất kỳ người nào có kết nối Internet, tại văn phòng công ty, quán cà phê hay từ thư viện." Nadia Heninger, nhà mã hóa học từ ĐH Bang Pennsylvania (Mỹ)

Freak là gì?

Freak (viết tắt của Factoring RSA Export Keys) là lỗi bảo mật liên quan đến phần mã hóa của Web (SSL/TLS), cho phép kẻ tấn công đánh chặn các kết nối bảo mật HTTPS giữa thiết bị trạm (client) và máy chủ web (server), buộc sử dụng mã hóa kém hơn để chúng có thể bẻ gãy và đánh cắp dữ liệu nhạy cảm. 


Các chuyên gia khám phá ra lỗi Freak gồm Karthikeyan Bhargavan tại INRIA (Paris), nhóm miTLS, Matthew Green, Zakir Durumeric, David Adrian, Ariana Mirian, Michael Bailey, và J. Alex Halderman (ĐH Michigan).

Theo FreakAttack.com, trang web lập ra để theo dõi diễn biến của lỗi bảo mật này, hiện có gần 10% máy chủ HTTPS trong danh sách Một triệu tên miền hàng đầu Internet từ Alexa "mắc lỗi".

Về phía máy trạm, đa số các trình duyệt đều trong "tầm bắn", gồm: Internet Explorer, Opera, Chrome và Safari (Mac OS), Chrome và trình duyệt mặc định Web Browser (Android), Safari (iOS), Opera (Linux).

Tuy nhiên, theo thống kê của hai chuyên gia an ninh J. Alex Halderman và Zakir Durumeric từ ĐH Michigan, đến 1/3 website mã hóa (có biểu tượng ổ khóa màu vàng ở thanh địa chỉ khi truy cập) "phơi mình" trước lỗi. Từ các website các cơ quan tổ chức chính phủ, tin tức, bán lẻ cho đến các dịch vụ tài chính trực tuyến như AmericanExpress.com, 4shared.com, tinyurl.com, sedo.com, sec.gov, hostgator.in...

"Hơn 5 triệu website trong tổng số 14 triệu website cung cấp chế độ bảo mật mã hóa tồn tại lỗi bảo mật "Freak". J. Alex Halderman, ĐH Michigan

Cách kiểm tra và phòng tránh

Cuộc chạy đua giữa "vá lỗi" và "khai thác lỗi", giữa các cơ quan chính phủ lo ngại vấn đề an ninh mạng, các nhà sản xuất phần cứng lẫn phần mềm và hacker bắt đầu. 


Trong tuần, các website lớn như FBI.gov, Whitehouse.gov đã được khắc phục lỗi. 

Microsoft khuyến cáo các quản trị hệ thống cần thực hiện những biến pháp như khóa các thiết lập trên máy chủ Windows cho phép dùng mã hóa yếu kém. Hiện Microsoft chưa có bản vá cập nhật để tự động bảo vệ máy tính Windows.

Apple cho biết đang phát triển bản cập nhật ngăn lỗi và sẽ phát hành trong tuần sau.

Google đã phát hành bản vá cho Chrome trên Mac, phiên bản Chrome cho Android sẽ sớm có bản vá.

Mozilla đã cập nhật cho FireFox bảo vệ trình duyệt "Cáo lửa" trên cả OS X, Windows lẫn Android.