Hacking - Bảo mật

Lỗ hổng bảo mật đã được báo cáo lần đầu tiên vào năm 2015 trên cả Mac OS X và iOS nhưng vẫn chưa được khắc phục ở iOS. Nguyên nhân khiến Apple không xử lý trên iOS là vì hãng nghĩ rằng lỗi này không quan trọng. Về cơ bản, lỗ hổng cần một ứng dụng không đáng tin có quyền truy cập vào cơ sở dữ liệu SQLite của iOS, và theo Apple thì mọi ứng dụng trên iOS đều đáng tin cậy.

Để bảo vệ hệ thống khỏi những driver xấu, Microsoft khuyến cáo người dùng nên sử dụng Kiểm soát ứng dụng Windows Defender chặn driver và những phần mềm dễ chứa lỗ hổng. Ngoài ra, khách hàng có thể kích hoạt tính toàn vẹn bộ nhớ (memory integrity) cho các thiết bị có khả năng trong Windows Security để tự bảo vệ hệ thống của mình.

Check Point cho biết đã báo cáo lỗ hổng cho Canon từ tháng 3/2019 và hai bên đã làm việc từ tháng Năm để phát hành bản vá. Tuần trước, Canon đã khuyến cáo người dùng tránh sử dụng các mạng Wi-Fi không bảo mật, tắt những chức năng mạng khi không sử dụng và cập nhật bản vá bảo mật mới cho máy ảnh của mình.

Để đề phòng bị tấn công, người dùng nên tuân thủ các giao thức bảo mật tiêu chuẩn như không sử dụng phần mềm lậu, không dùng một mật khẩu cho nhiều trang web và dịch vụ khác nhau, cài xác thực hai yếu tố, áp dụng các bản cập nhật và bản vá hệ thống mới nhất vì bước đầu kẻ tấn công sẽ cần truy cập vào hệ thống để khai thác lỗ hổng.

Mối nguy này bắt nguồn từ dự án nguồn mở của Android (AOSP). Đây là hệ điều hành thay thế chi phí thấp hơn phiên bản đầy đủ, được các nhà sản xuất chọn cho những loại smartphone giá rẻ để giảm giá thành sản phẩm. Thiết bị có biểu tượng Android của Samsung và Google sẽ an toàn trước mối nguy này. Nhóm nghiên cứu không tên các thương hiệu điện thoại liên quan.

Nghiên cứu mới nhất từ Kaspersky cho thấy những kẻ tấn công mạng đã lợi dụng lỗ hổng trên các form đăng ký, biểu mẫu, phiếu đánh giá trên website,… để chèn nội dung spam hoặc liên kết lừa đảo và gửi dưới danh nghĩa email từ các công ty uy tín trên toàn cầu.

Trong thử nghiệm của mình, MG đã kết nối điện thoại với Wi-Fi phát ra từ O.MG và bắt đầu xâm nhập vào máy Mac đích. Ông có thể tấn công thiết bị trong phạm vi 300 feet (gần 1m). Tuy nhiên cáp có thể được cài đặt để hoạt động như một máy khách với mạng không dây xung quanh. Và trong trường hợp mạng không dây đó kết nối internet thì kẻ xấu có thể tấn công máy Mac từ bất kỳ đâu.

Đây là vụ hack khá phức tạp vì yêu cầu có mặt chủ sở hữu và nạn nhân phải đang ngủ hoặc bất tỉnh. Để khắc phục lỗ hổng này, nhóm nghiên cứu đề nghị nhà sản xuất sinh trắc học thêm tính năng xác thực danh tính vào camera dựa trên video và âm thanh để nhận diện chính xác hơn.

Để nhận được phần thưởng trị giá 1 triệu USD, hacker phải tìm ra cuộc tấn công thực thi toàn chuỗi mã kenel (full chain kernel code execution) không cần nhấp chuột. Apple sẽ trả 500.000 USD nếu tin tặc phát hiện ra cuộc tấn công mạng không cần tương tác từ người dùng.

Microsoft vừa đăng cảnh báo tin tặc Nga đã dùng nhiều phương thức giải mã video, máy tin và những thiết bị IoT để xâm nhậm vào các mạng máy tính.