Nomx, dịch vụ email được tuyên bố là an toàn nhất thế giới có nhiều lỗ hổng, dễ bị hack

[WhiteHat News #ID:2018]

Một dịch vụ email được tuyên bố là an toàn nhất thế giới được phát hiện có nhiều lỗ hổng nghiêm trọng.

Nomx, một startup muốn thay đổi cách chúng ta sử dụng email bằng cách sử dụng máy chủ riêng cho từng người dùng, cho rằng sản phẩm của mình “đảm bảo tuyệt đối an toàn và riêng tư” nhưng sự thật lại khác xa với những gì được quảng cáo.

Một nhà nghiên cứu an ninh phát hiện ra thiết bị Nomx thực chất chỉ bao gồm một máy Raspberry Pi cùng phần mềm đã lỗi thời và có rất nhiều lỗ hổng.

Vấn đề nghiêm trọng nhất đó là ứng dụng web của Nomx có một lỗ hổng cho phép bất kì ai giành quyền kiểm soát thiết bị từ xa chỉ bằng một “chuyến viếng thăm” đơn giản đến một website độc hại. Hậu quả là hacker có thể đọc, gửi, xóa email hoặc thậm chí tạo một tài khoản email mới.

Cụ thể, ứng dụng web của Nomx tồn tại lỗ hổng CSRF (Cross Site Request Forgery), một phương pháp tấn công khá phổ biến. Nếu truy cập một website độc hại, bạn sẽ cho phép kẻ tấn công truy cập tài khoản mail chạy trên Nomx.

CEO của Nomx đã nhanh chóng phủ nhận báo cáo này và cho biết các thiết bị Nomx mới hơn không chạy trên Raspberry Pi. Những thiết bị mà nhà nghiên cứu thử nghiệm là đời đầu và đã lỗi thời.

Nguồn: Theo Softpedia​