Lỗ hổng FREAK SSL đe dọa hơn 200 website tại Việt Nam
Một lỗ hổng an ninh nghiêm trọng vừa được phát hiện trên giao thức mã hóa (SSL/TLS), khiến người dùng các thiết bị của Google và Apple có thể bị tấn công khi truy cập các trang HTTPS, thường là các dịch vụ quan trọng.
Tại Việt Nam, 255 website bị ảnh hưởng, trong đó có 6 website ngân hàng, chứng khoán, 4 website hãng viễn thông, 5 website chính phủ…
Lỗ hổng trên giao thức kết nối Secure Sockets Layer/Transport Layer Security SSL/TLS cho phép các tin tặc can thiệp vào các kết nối HTTPS giữa máy khách và máy chủ. Sau khi can thiệp các kết nối HTTPS, tin tặc có thể buộc trang web hạ cấp (downgrade) xuống mức an ninh yếu, gọi là mã hóa "export-grade". Từ đó tin tặc dễ dàng giải mã thông tin truy cập web, lấy cắp mật khẩu và các dữ liệu nhạy cảm khác.
Điều kiện để khai thác thành công là trình duyệt và trang web người dùng truy cập đều cùng có lỗ hổng. Theo các chuyên gia an ninh mạng, Safari và trình duyệt mặc định của Android - không bao gồm Chrome - bị ảnh hưởng.
Hiện Apple đang chuẩn bị cho bản vá dự kiến đưa ra vào tuần tới. Đại diện của Google cũng xác nhận rằng công ty cũng đã hoàn thành bản vá và đã chuyển cho các đối tác (các nhà sản xuất thiết bị dùng Android). Tuy nhiên, thời điểm bản vá này đến tay người dùng chưa được công bố chi tiết.
Ông Nguyễn Hồng Sơn, Trưởng phòng nghiên cứu An ninh mạng của Bkav cho biết: "Rất may là các dịch vụ được dùng phổ biến như Gmail, Facebook… không bị ảnh hưởng bởi lỗ hổng. Với các dịch vụ khác, trong khi chờ đợi bản vá chính thức từ Google và Apple, người dùng nên sử dụng các trình duyệt thay thế, ví dụ Google Chrome, để đảm bảo an toàn".
Bkav đã triển khai ngay việc gửi thông tin cảnh báo và hướng dẫn xử lý tới các đơn vị chủ quản các website có lỗ hổng tại Việt Nam.
Tại Việt Nam, 255 website bị ảnh hưởng, trong đó có 6 website ngân hàng, chứng khoán, 4 website hãng viễn thông, 5 website chính phủ…
Lỗ hổng trên giao thức kết nối Secure Sockets Layer/Transport Layer Security SSL/TLS cho phép các tin tặc can thiệp vào các kết nối HTTPS giữa máy khách và máy chủ. Sau khi can thiệp các kết nối HTTPS, tin tặc có thể buộc trang web hạ cấp (downgrade) xuống mức an ninh yếu, gọi là mã hóa "export-grade". Từ đó tin tặc dễ dàng giải mã thông tin truy cập web, lấy cắp mật khẩu và các dữ liệu nhạy cảm khác.
Điều kiện để khai thác thành công là trình duyệt và trang web người dùng truy cập đều cùng có lỗ hổng. Theo các chuyên gia an ninh mạng, Safari và trình duyệt mặc định của Android - không bao gồm Chrome - bị ảnh hưởng.
Hiện Apple đang chuẩn bị cho bản vá dự kiến đưa ra vào tuần tới. Đại diện của Google cũng xác nhận rằng công ty cũng đã hoàn thành bản vá và đã chuyển cho các đối tác (các nhà sản xuất thiết bị dùng Android). Tuy nhiên, thời điểm bản vá này đến tay người dùng chưa được công bố chi tiết.
Ông Nguyễn Hồng Sơn, Trưởng phòng nghiên cứu An ninh mạng của Bkav cho biết: "Rất may là các dịch vụ được dùng phổ biến như Gmail, Facebook… không bị ảnh hưởng bởi lỗ hổng. Với các dịch vụ khác, trong khi chờ đợi bản vá chính thức từ Google và Apple, người dùng nên sử dụng các trình duyệt thay thế, ví dụ Google Chrome, để đảm bảo an toàn".
Bkav đã triển khai ngay việc gửi thông tin cảnh báo và hướng dẫn xử lý tới các đơn vị chủ quản các website có lỗ hổng tại Việt Nam.
Lỗ hổng FREAK SSL đe dọa hơn 200 website tại Việt Nam
Reviewed by Unknown
on
06:15
Rating:
Không có nhận xét nào: