Cổng USB Duy Nhất Của MacBook Đi Kèm Với Nguy Cơ Bảo Mật Lớn

17 Tháng Ba 20153:00 SA(Xem: 19553)
Cổng USB Duy Nhất Của MacBook Đi Kèm Với Nguy Cơ Bảo Mật Lớn
blank
Sau nhiều năm phát triển, cổng USB Type-C đang đi vào hiện thực hóa. Trong tuần thứ hai của tháng 03/2015, Apple đã ra mắt chiếc MacBook mới, chỉ có một cổng USB Type-C dùng chung cho việc cắm dữ liệu và sạc điện, một động thái cho phép MacBook trở nên mỏng hơn bao giờ hết. Một vài ngày sau đó, Google cũng đã công bố một phiên bản mới của siêu phẩm Chromebook Pixel đi kèm với cổng USB Type-C tương tự.

Nhưng trong khi cổng USB mới khá mạnh mẽ, chúng cũng đi kèm với các vấn đề về bảo mật nghiêm trọng. Đối với tất cả các tính linh hoạt của chúng, Type-C vẫn dựa trên tiêu chuẩn USB, vì vậy sẽ dễ bị tấn công bởi các phầm mềm độc hại. Các nhà nghiên cứu cũng đang lo ngại về các cuộc tấn công khác thông qua việc truy cập trực tiếp vào bộ nhớ của phích cắm. Không có bất kỳ lỗ hỏng bảo mật nào là mới, nhưng việc gộp chúng lại với nhau thông qua một phích cắm duy nhất sẽ làm cho chúng trở nên đáng sợ và khó tránh. Trên một máy tính thông thường, người dùng lo lắng về các cuộc tấn công USB có thể thông qua các cổng, nhưng việc nạp điện thông qua một phích cắm là điều người dùng buộc phải sử dụng. Và cuộc tấn công thông qua phích cắm đó có thể có các hậu quả bảo mật nghiêm trọng.

Mối quan tâm lớn nhất là lỗ hổng BadUSB, xuất hiện lần đầu tiên vào năm 2014. Cuộc tấn công nằm trong phần mềm độc hại của một thiết bị USB và lây nhiễm các máy tính thông qua giai đoạn đầu kết nối, rất lâu trước khi người dùng có cơ hội thấy được những gì trên thiết bị và quyết định liệu có nên mở nó lên hay không. Mặc dù một số USB đã được xây dựng để chống lại các lây nhiễm từ phần mềm độc hại, nhưng máy tính lại khó khăn hơn nhiều. USB được xây dựng để tương thích, vì vậy có rất ít thiết bị ngoại vi máy tính sẽ không được chấp nhận, thậm chí nếu các thiết bị ngoại vị lây lan phần mềm độc hại. Apple đã cho phép bộ sạc của bên thứ ba và các bộ pin khi triển khai cổng USB Type-C, đã tạo điều kiện cho việc lây nhiễm từ các vật chủ trong gian. Trong trường hợp của BadUSB, phần mềm độc hại sẽ dễ dàng lây nhiễm khi đặt cùng với một thiết bị USB mỗi khi cắm vào.

USB Type-C có rất nhiều ưu điểm so với các model trước, nhưng các chuyên gia bảo mật cho rằng chúng đã được sửa chữa để khắc phục một số vấn đề cốt lõi của BadUSB. Một trong những nhà nghiên cứu đầu tiên phát hiện ra BadUSB – Karsten Nohl cho biết không có giải pháp nào cho BadUSB, ngay cả với tiêu chuẩn mới cũng không ngoại lệ. USB là một chuẩn mở, được xây dựng trên tính tương thích ngược và truy cập bên thứ ba dễ dàng. Người dùng sẽ cần đến một bộ chuyển đổi để cắm các thiết bị USB cũ vào các cổng Type-C, nhưng các giao thức phần mềm cũ vẫn hoạt động, bỏ đi những lỗ hổng tương tự. Ngay cả các công ty công nghệ lớn như Apple và Google cũng cần phải tuân thủ các quy tắc về chuẩn USB, trong đó loại trừ một số khó khăn về sự hy sinh cần thiết để đảm bảo các tiêu chuẩn chung. Kết quả cho người dùng là một lỗ hổng bảo mật lớn không dễ dàng sửa chữa.

Trong thực tế, điều đó có nghĩa là người dùng MacBook và Chromebook Pixel hiện đang phơi nhiễm với một cuộc tấn công từ “bộ sạc mượn”. Các bộ sạc mới không có phần mềm độc hại cần thiết mang virus BadUSB, nhưng sẽ dễ dàng cho những kẻ tấn công cài đặt chúng trên USB, sau đó dành một ngày trong quán cà phê để chờ đợi một số mục tiêu. Từ đó sẽ lây lan sang mọi thiết bị tương thích cắm vào. Gần như tất cả mọi người với một máy tính xách tay đã chia sẻ một dây cáp sạc điện ở một số địa điểm - vì vậy các cuộc tấn công có thể xâm nhập nhiều máy tính được bảo vệ khác.

Sửa chữa lỗ hổng bảo mật ở mức độ hệ sinh thái là rất khó khăn. Không có một công ty nào có thể thay đổi cách hoạt động của USB, vì vậy việc sửa chữa thực tế là khác biệt so với tiêu chuẩn chung. Trong quá khứ, Apple đã xây dựng các chip xác thực trong các đầu kết nối như Lightning - chủ yếu là bảo vệ mảng kinh doanh cấp phép béo bở của mình, nhưng với an ninh phần cứng mạnh mẽ hơn. Điều đó là không thể trên một tiêu chuẩn mở như USB. Thậm chí nếu Apple bằng cách nào đó đòi hỏi tất cả các cáp sạc phải có một chip xác thực gắn với phần sụn chống giả mạo, cổng vẫn sẽ dễ bị tổn thương với các thiết bị cũ.

Cách bảo vệ tốt nhất khá đơn giản: chỉ cần tránh tiếp xúc với bất kỳ bộ sạc hoặc các thiết bị không thuộc sở hữu của mình. Nhưng đó là một hạ cấp nghiêm trọng trong bảo mật thiết bị, được thiết lập để chống các nâng cấp lớn trong việc chuyển giao năng lượng và tốc độ dữ liệu. Việc kết hợp các cổng sạc và cổng dữ liệu với nhau đã làm cho MacBook và Chromebook Pixel nhanh hơn và mạnh hơn, nhưng bên cạnh đó là lo ngại đang tồn tại là những thiết bị người dùng có thể tin tưởng để cấp vào. Tóm lại, người dùng cần phải có nhiều biện pháp bảo mật hơn dành cho giải pháp một cổng USB duy nhất.
521Vote
41Vote
37Vote
24Vote
15Vote
3.838
Gửi ý kiến của bạn
Tắt
Telex
VNI
Tên của bạn
Email của bạn
Tạo bài viết
29 Tháng Giêng 2019
Khoảng cuối tháng 01/2019, trang 9to5mac phát hiện ra một lỗi vô cùng nghiêm trọng đối với tính năng FaceTime trên những chiếc iPhone. Lỗi cho phép người dùng thực hiện cuộc gọi tới bất kỳ ai bằng FaceTime, và ngay lập tức có thể nghe được âm thanh từ thiết bị của đối phương, trước cả khi họ chấp nhận hay từ chối cuộc gọi đến.
29 Tháng Giêng 2019
Khoảng cuối tháng 01/2019, theo trang Globes của Israel, Samsung đã gần hoàn tất thỏa thuận mua lại hãng camera smartphone của Israel, Corephotonics với giá 150 triệu USD.
29 Tháng Giêng 2019
Khoảng cuối tháng 01/2019, một số nguồn tin cho biết Sharp, hiện thuộc quyền sở hữu của Foxconn, sẽ tăng sản lượng màn hình OLED và cố gắng trở thành nhà cung cấp màn hình OLED cho các mẫu iPhone sắp ra mắt. Dù thông tin chưa được xác thực nhưng nhiều khả năng nó sẽ trở thành hiện thực.
29 Tháng Giêng 2019
Khoảng cuối tháng 01/2019, sau cuộc tấn công diễn ra vào mùa hè năm 2018 ảnh hưởng tới dữ liệu của 1.5 triệu công dân, Bộ Y tế Singapore thông báo rằng thông tin cá nhân và tình trạng xét nghiệm HIV của 14,200 người bị công khai trên mạng bởi một kẻ lừa đảo được xác định. Không giống như vụ lộ dữ liệu năm 2018 được gây ra bởi một cuộc tấn công có định hướng, các thông tin dường như được thu thập thông qua truy cập không được phép tới cổng thông tin HIV của Bộ Y tế Singapore.
29 Tháng Giêng 2019
Khoảng cuối tháng 01/2019, ông Eric Wahlforss, nhà đồng sáng lập nền tảng chia sẻ nhạc SoundCloud sẽ rời khỏi vai trò giám đốc sản xuất CPO chủ lực trong công ty từ tháng 03/2019. Trong một thông báo được Wahlforss đăng tải bằng tài khoản cá nhân trên mạng xã hội Twitter, ông bày tỏ tình cảm, kỉ niệm gắn bó với đứa con tinh thần SoundCloud suốt 11 năm, làm việc cùng hàng triệu nghệ sĩ và tạo dựng một cộng đồng cống hiến hết mình cho niềm đam mê sáng tạo âm nhạc không giới hạn. Tuy nhiên, ông cũng nhấn mạnh rằng đã đến lúc phải tạm ngưng để nghỉ ngơi trước khi suy nghĩ về dự án tiếp theo. Sau khi từ chức, Eric Wahlforss vẫn sẽ giữ vai trò cố vấn cho công ty.
29 Tháng Giêng 2019
Hiện nay các dạng thuốc dùng trong điều trị ung thư vẫn còn khá hoặc rất đắt đỏ với những bệnh nhân có nhu cầu sử dụng. Khoảng cuối tháng 01/2019, một số nguồn tin cho biết, các nhà nghiên cứu đã dùng công nghệ thay đổi gen để làm ra những con gà có khả năng đẻ trứng có chứa sẵn các thuốc chữa các bệnh về khớp và cả một số bệnh ung thư.