Đe dọa người dùng PC lẫn di động

Vài trăm triệu người dùng máy tính Windows và Mac, thiết bị di động Apple, Android... gặp nguy hiểm trước các cuộc tấn công khai thác lỗi bảo mật mang tên "Freak". 

Người dùng máy tính Mac hay Windows, và cả thiết bị di động (smartphone / tablet) đều gặp nguy hiểm trước lỗi Freak, có thể bị mất tài khoản, dữ liệu giao dịch... - Ảnh minh họa: Internet

Người dùng vẫn có thể bị hack qua lỗi này khi truy cập vào một trong nhiều triệu website có chế độ bảo mật (HTTPS), bao gồm cả website Nhà trắng hay FBI hoặc chỉ đơn thuần nhấn nút "Like" của Facebook khi xem tin trên một trang web. 

Lỗi bảo mật "Freak" được chín chuyên gia bảo mật khám phá và công bố ngày 3-3, đang làm "chấn động" giới công nghệ, gây lo lắng cho các hãng sản xuất phần cứng lẫn phần mềm do mức độ nguy hiểm và phạm vi ảnh hưởng.

Ban đầu, lỗi được cho là chỉ gây ảnh hưởng đến thiết bị di động dùng hệ điều hành Apple iOS gồm iPhone, iPod Touch và iPad, cùng máy Mac, và trình duyệt web mặc định trong hệ điều hành Google Android. 

Tuy nhiên, chỉ vài ngày sau, giới công nghệ lẫn các cơ quan chính phủ thêm "hốt hoảng" khi Microsoft chính thức xác nhận máy tính dùng Windows cũng bị đe dọa bởi lỗi "Freak", làm gia tăng số lượng thiết bị trong tầm "bị tấn công" của lỗi Freak gia tăng lên vài trăm triệu.

Freak là gì?

Freak (viết tắt của Factoring RSA Export Keys) là lỗi bảo mật liên quan đến phần mã hóa của Web (SSL/TLS), cho phép kẻ tấn công đánh chặn các kết nối bảo mật HTTPS giữa thiết bị trạm (client) và máy chủ web (server), buộc sử dụng mã hóa kém hơn để chúng có thể bẻ gãy và đánh cắp dữ liệu nhạy cảm. 

Lỗi bảo mật Freak cho phép kẻ tấn công "đánh chặn" dữ liệu trao đổi giữa thiết bị (PC, di động) người dùng với máy chủ web/dịch vụ có dùng chế độ mã hóa (SSL/TLS) - Ảnh minh họa: Internet

Các chuyên gia khám phá ra lỗi Freak gồm Karthikeyan Bhargavan tại INRIA (Paris), nhóm miTLS, Matthew Green, Zakir Durumeric, David Adrian, Ariana Mirian, Michael Bailey, và J. Alex Halderman (ĐH Michigan).

Theo FreakAttack.com, trang web lập ra để theo dõi diễn biến của lỗi bảo mật này, hiện có gần 10% máy chủ HTTPS trong danh sách Một triệu tên miền hàng đầu Internet từ Alexa "mắc lỗi".

Về phía máy trạm, đa số các trình duyệt đều trong "tầm bắn", gồm: Internet Explorer, Opera, Chrome và Safari (Mac OS), Chrome và trình duyệt mặc định Web Browser (Android), Safari (iOS), Opera (Linux).

Tuy nhiên, theo thống kê của hai chuyên gia an ninh J. Alex Halderman và Zakir Durumeric từ ĐH Michigan, đến 1/3 website mã hóa (có biểu tượng ổ khóa màu vàng ở thanh địa chỉ khi truy cập) "phơi mình" trước lỗi. Từ các website các cơ quan tổ chức chính phủ, tin tức, bán lẻ cho đến các dịch vụ tài chính trực tuyến như AmericanExpress.com, 4shared.com, tinyurl.com, sedo.com, sec.gov, hostgator.in... (xem tại đây)

Cách kiểm tra và phòng tránh

Cuộc chạy đua giữa "vá lỗi" và "khai thác lỗi", giữa các cơ quan chính phủ lo ngại vấn đề an ninh mạng, các nhà sản xuất phần cứng lẫn phần mềm và hacker bắt đầu. 

Lỗi Freak nối tiếp "Trái tim rỉ máu" (heartbleed) hay lỗi SSL mang tên "Poodle" năm 2014 - Ảnh:

Trong tuần, các website lớn như FBI.gov, Whitehouse.gov đã được khắc phục lỗi. 

* Người dùng có thể tự kiểm tra qua công cụ được các chuyên gia bảo mật phát triển tại đây.

Microsoft khuyến cáo các quản trị hệ thống cần thực hiện những biến pháp như khóa các thiết lập trên máy chủ Windows cho phép dùng mã hóa yếu kém. Hiện Microsoft chưa có bản vá cập nhật để tự động bảo vệ máy tính Windows. Xem chi tiết khuyến cáo thực hiện của Microsoft tại đây.

Apple cho biết đang phát triển bản cập nhật ngăn lỗi và sẽ phát hành trong tuần sau.

Google đã phát hành bản vá cho Chrome trên Mac, phiên bản Chrome cho Android sẽ sớm có bản vá.

Mozilla đã cập nhật cho FireFox bảo vệ trình duyệt "Cáo lửa" trên cả OS X, Windows lẫn Android.

Quản trị hệ thống máy chủ tham khảo các khuyến nghị đối phó với lỗi Freak tại đây.