Cổng USB Duy Nhất Của MacBook Đi Kèm Với Nguy Cơ Bảo Mật Lớn

17 Tháng Ba 20153:00 SA(Xem: 19483)
Cổng USB Duy Nhất Của MacBook Đi Kèm Với Nguy Cơ Bảo Mật Lớn
blank
Sau nhiều năm phát triển, cổng USB Type-C đang đi vào hiện thực hóa. Trong tuần thứ hai của tháng 03/2015, Apple đã ra mắt chiếc MacBook mới, chỉ có một cổng USB Type-C dùng chung cho việc cắm dữ liệu và sạc điện, một động thái cho phép MacBook trở nên mỏng hơn bao giờ hết. Một vài ngày sau đó, Google cũng đã công bố một phiên bản mới của siêu phẩm Chromebook Pixel đi kèm với cổng USB Type-C tương tự.

Nhưng trong khi cổng USB mới khá mạnh mẽ, chúng cũng đi kèm với các vấn đề về bảo mật nghiêm trọng. Đối với tất cả các tính linh hoạt của chúng, Type-C vẫn dựa trên tiêu chuẩn USB, vì vậy sẽ dễ bị tấn công bởi các phầm mềm độc hại. Các nhà nghiên cứu cũng đang lo ngại về các cuộc tấn công khác thông qua việc truy cập trực tiếp vào bộ nhớ của phích cắm. Không có bất kỳ lỗ hỏng bảo mật nào là mới, nhưng việc gộp chúng lại với nhau thông qua một phích cắm duy nhất sẽ làm cho chúng trở nên đáng sợ và khó tránh. Trên một máy tính thông thường, người dùng lo lắng về các cuộc tấn công USB có thể thông qua các cổng, nhưng việc nạp điện thông qua một phích cắm là điều người dùng buộc phải sử dụng. Và cuộc tấn công thông qua phích cắm đó có thể có các hậu quả bảo mật nghiêm trọng.

Mối quan tâm lớn nhất là lỗ hổng BadUSB, xuất hiện lần đầu tiên vào năm 2014. Cuộc tấn công nằm trong phần mềm độc hại của một thiết bị USB và lây nhiễm các máy tính thông qua giai đoạn đầu kết nối, rất lâu trước khi người dùng có cơ hội thấy được những gì trên thiết bị và quyết định liệu có nên mở nó lên hay không. Mặc dù một số USB đã được xây dựng để chống lại các lây nhiễm từ phần mềm độc hại, nhưng máy tính lại khó khăn hơn nhiều. USB được xây dựng để tương thích, vì vậy có rất ít thiết bị ngoại vi máy tính sẽ không được chấp nhận, thậm chí nếu các thiết bị ngoại vị lây lan phần mềm độc hại. Apple đã cho phép bộ sạc của bên thứ ba và các bộ pin khi triển khai cổng USB Type-C, đã tạo điều kiện cho việc lây nhiễm từ các vật chủ trong gian. Trong trường hợp của BadUSB, phần mềm độc hại sẽ dễ dàng lây nhiễm khi đặt cùng với một thiết bị USB mỗi khi cắm vào.

USB Type-C có rất nhiều ưu điểm so với các model trước, nhưng các chuyên gia bảo mật cho rằng chúng đã được sửa chữa để khắc phục một số vấn đề cốt lõi của BadUSB. Một trong những nhà nghiên cứu đầu tiên phát hiện ra BadUSB – Karsten Nohl cho biết không có giải pháp nào cho BadUSB, ngay cả với tiêu chuẩn mới cũng không ngoại lệ. USB là một chuẩn mở, được xây dựng trên tính tương thích ngược và truy cập bên thứ ba dễ dàng. Người dùng sẽ cần đến một bộ chuyển đổi để cắm các thiết bị USB cũ vào các cổng Type-C, nhưng các giao thức phần mềm cũ vẫn hoạt động, bỏ đi những lỗ hổng tương tự. Ngay cả các công ty công nghệ lớn như Apple và Google cũng cần phải tuân thủ các quy tắc về chuẩn USB, trong đó loại trừ một số khó khăn về sự hy sinh cần thiết để đảm bảo các tiêu chuẩn chung. Kết quả cho người dùng là một lỗ hổng bảo mật lớn không dễ dàng sửa chữa.

Trong thực tế, điều đó có nghĩa là người dùng MacBook và Chromebook Pixel hiện đang phơi nhiễm với một cuộc tấn công từ “bộ sạc mượn”. Các bộ sạc mới không có phần mềm độc hại cần thiết mang virus BadUSB, nhưng sẽ dễ dàng cho những kẻ tấn công cài đặt chúng trên USB, sau đó dành một ngày trong quán cà phê để chờ đợi một số mục tiêu. Từ đó sẽ lây lan sang mọi thiết bị tương thích cắm vào. Gần như tất cả mọi người với một máy tính xách tay đã chia sẻ một dây cáp sạc điện ở một số địa điểm - vì vậy các cuộc tấn công có thể xâm nhập nhiều máy tính được bảo vệ khác.

Sửa chữa lỗ hổng bảo mật ở mức độ hệ sinh thái là rất khó khăn. Không có một công ty nào có thể thay đổi cách hoạt động của USB, vì vậy việc sửa chữa thực tế là khác biệt so với tiêu chuẩn chung. Trong quá khứ, Apple đã xây dựng các chip xác thực trong các đầu kết nối như Lightning - chủ yếu là bảo vệ mảng kinh doanh cấp phép béo bở của mình, nhưng với an ninh phần cứng mạnh mẽ hơn. Điều đó là không thể trên một tiêu chuẩn mở như USB. Thậm chí nếu Apple bằng cách nào đó đòi hỏi tất cả các cáp sạc phải có một chip xác thực gắn với phần sụn chống giả mạo, cổng vẫn sẽ dễ bị tổn thương với các thiết bị cũ.

Cách bảo vệ tốt nhất khá đơn giản: chỉ cần tránh tiếp xúc với bất kỳ bộ sạc hoặc các thiết bị không thuộc sở hữu của mình. Nhưng đó là một hạ cấp nghiêm trọng trong bảo mật thiết bị, được thiết lập để chống các nâng cấp lớn trong việc chuyển giao năng lượng và tốc độ dữ liệu. Việc kết hợp các cổng sạc và cổng dữ liệu với nhau đã làm cho MacBook và Chromebook Pixel nhanh hơn và mạnh hơn, nhưng bên cạnh đó là lo ngại đang tồn tại là những thiết bị người dùng có thể tin tưởng để cấp vào. Tóm lại, người dùng cần phải có nhiều biện pháp bảo mật hơn dành cho giải pháp một cổng USB duy nhất.
521Vote
41Vote
37Vote
24Vote
15Vote
3.838
Gửi ý kiến của bạn
Tắt
Telex
VNI
Tên của bạn
Email của bạn
Tạo bài viết
07 Tháng Năm 2019
Trong dark web, có hai chợ đen lớn nhất nơi những tên tội phạm ghé để mua ma túy, giấy tờ giả và công cụ hack thiết bị của người khác. Lớn nhất là Dream Market, đã bị triệt phá vào ngày 30/04/2019. Chỉ 4 ngày sau, chợ đen lớn thứ hai, Wall Street Market cũng đã bị Europol, cảnh sát Mỹ và Đức phối hợp đóng cửa. Các nhà chức trách đã tịch thu máy chủ cùng hơn 615,000 USD tiền mặt, và lượng tiền ảo Bitcoin và Monero có giá trị “6 chữ số”. Ba người Đức cũng đã bị bắt giữ.
07 Tháng Năm 2019
Khoảng đầu tháng 05/2019, Apple đã lên tiếng cảnh báo người dùng sử dụng iPhone không nhận những cuộc gọi có số điện thoại “của nhân viên Apple” trừ phi trước đó đã gửi yêu cầu hãng trợ giúp thông qua trang Apple online support. Điều đáng lo ngại là những cuộc gọi như vậy hiển thị được cả logo Apple, địa chỉ và đúng số điện thoại hỗ trợ khách hàng của họ. Thực tế, đây là một cách vô cùng kỳ công để đánh cắp tài khoản iCloud của người dùng iPhone.
06 Tháng Năm 2019
Cửa hàng Apple mới mở ở thư viện Carnegie, thủ đô Washington, Mỹ là dự án tham vọng nhất của Apple trong việc phục hồi các di tích lịch sử. Dự kiến cửa hàng Apple Store mới sẽ mở vào ngày 11/05/2019, tiêu tốn của Apple hơn 30 triệu USD. Tuy nhiên, CEO Tim Cook cho rằng mục tiêu của dự án không phải là giúp Apple bán được nhiều thiết bị hơn, ông thậm chí còn không muốn gọi nó là Apple Store: “Chúng tôi có lẽ sẽ nghĩ ra một cái tên khác để gọi những cửa hàng như vậy, vì nó giống như một địa điểm dành cho cộng đồng hơn là cửa hàng đơn thuần”.
06 Tháng Năm 2019
Hồi năm 2013, Apple đã đầu tư một khoản tiền lớn tới 578 triệu USD cho công nghệ màn hình sapphire. Số tiền sẽ được chi trả thành 4 lần cho công ty GT Advanced Technologies, thời điểm đó đang là đối tác cung cấp các miếng sapphire dành cho phím Home và camera của iPhone. Kế hoạch hướng tới mục đích sản xuất trên quy mô lớn loại vật liệu siêu cứng mới để cho màn hình iPhone, nhằm thay thế kính Gorilla Glass.
06 Tháng Năm 2019
Xu thế hiện tại của các nhà sản xuất smartphone và người dùng là một chiếc điện thoại có màn hình chiếm toàn bộ mặt trước. Bên cạnh thiết kế trượt (pop-up), “tai thỏ” (notch) hay “nốt ruồi” (Infinity-O), Samsung đang tìm giải pháp để ẩn hoàn toàn ẩn phần camera selfie này bên dưới màn hình, kiểu tương tự như cảm biến vân tay.
06 Tháng Năm 2019
Sự việc diễn ra vào ngày 04/05/2019, khi Lực lượng Quốc phòng Israel (IDF) tiến hành cuộc không kích vào một tòa nhà tại Dải Gaza. Trước đó, IDF đã tiến hành điều tra và phát hiện tòa nhà chính là trụ sở của nhóm hacker thuộc tổ chức Hamas, những kẻ đã tấn công vào không gian mạng của Chính phủ Israel. Tướng Brigadier cho biết: “Chúng tôi luôn đi trước chúng một bước. Thời điểm chúng cố gắng thực hiện điều gì đó, chúng tôi luôn kịp thời ngăn chặn”.