WhiteHat News #ID:86
WhiteHat Support
-
04/06/2014
-
4
-
33 bài viết
Phần mềm an ninh “cẩu thả” của Dell đặt hệ thống người dùng vào tay hacker
Một số laptop Windows bán ra của Dell tồn tại một lỗ hổng an ninh nghiêm trọng, có thể tạo điều kiện cho hacker chiếm kết nối Internet và giả mạo một trang web tin cậy.
Vấn đề nằm ở một chứng chỉ gốc có tên eDellRoot, vốn có nhiệm vụ xác thực rằng website máy tính đang truy cập đúng là website người dùng muốn ghé thăm. Chứng chỉ này được người dùng phát hiện có trên các laptop XPS 15 và dòng notebook Inspiron 5000.
Các chứng chỉ số sử dụng các khóa – những đoạn code bí mật dài và phức tạp – để ký và xác nhận rằng kết nối Internet được mã hóa là an toàn. Trong trường hợp của Dell, các khóa này được lưu trữ ngay trên ít nhất 2 dòng laptop của Dell, cho phép kẻ xấu tiến hành dịch ngược. Khi đó, nếu có được một vị trí phù hợp trong mạng – ví dụ đứng giữa người dùng và website HTTPS, hacker có thể giả mạo một website chính thống, ăn cắp các thông tin nhạy cảm, hoặc theo dõi hoạt động duyệt web của người dùng.
Chuyên gia an ninh Kenn White đã tiến hành thực nghiệm cách thức hacker sử dụng lỗ hổng để giả mạo một website vốn dĩ an toàn. Kết quả, White có thể tạo một kết nối được mã hóa đến https://bankofamerica.com”, nhưng nội dung bên trong của trang này lại là hình ảnh một chú mèo đeo mặt nạ.
Với trình duyệt Firefox, White cho biết, sẽ có một cảnh báo xuất hiện khi người dùng kết nối qua chứng chỉ có lỗ hổng của Dell, do Firefox có các chứng chỉ an ninh riêng.
Christina-Marie Furtado, phát ngôn viên của Dell, cho biết hãng đã đưa ra hướng dẫn để người dùng có thể loại bỏ eDellRoot khỏi máy tính của họ, và hãng cũng sẽ không đưa chứng chỉ này vào các máy tính xuất xưởng trong tương lai. Theo Furtado, eDellRoot được đưa vào các laptop của hãng nhằm mục đích “cung cấp trải nghiệm người dùng tốt hơn, nhanh hơn và đơn giản hơn". “Thật không may, chứng chỉ đó lại tồn tại một lỗ hổng an ninh không mong muốn”, Furtado cho biết thêm.
Vụ việc lần này của Dell cũng tương tự như sự cố của Lenovo hồi đầu năm, khi hãng sản xuất máy tính từ Trung Quốc bị phát hiện cài đặt sẵn một phần mềm quảng cáo có tên Superfish trên máy tính bán ra của mình. Superfish chặn kết nối Internet và sử dụng một chứng chỉ với các đặc quyền tương tự để chèn quảng cáo vào trình duyệt của người dùng.
Vấn đề nằm ở một chứng chỉ gốc có tên eDellRoot, vốn có nhiệm vụ xác thực rằng website máy tính đang truy cập đúng là website người dùng muốn ghé thăm. Chứng chỉ này được người dùng phát hiện có trên các laptop XPS 15 và dòng notebook Inspiron 5000.
Các chứng chỉ số sử dụng các khóa – những đoạn code bí mật dài và phức tạp – để ký và xác nhận rằng kết nối Internet được mã hóa là an toàn. Trong trường hợp của Dell, các khóa này được lưu trữ ngay trên ít nhất 2 dòng laptop của Dell, cho phép kẻ xấu tiến hành dịch ngược. Khi đó, nếu có được một vị trí phù hợp trong mạng – ví dụ đứng giữa người dùng và website HTTPS, hacker có thể giả mạo một website chính thống, ăn cắp các thông tin nhạy cảm, hoặc theo dõi hoạt động duyệt web của người dùng.
Chuyên gia an ninh Kenn White đã tiến hành thực nghiệm cách thức hacker sử dụng lỗ hổng để giả mạo một website vốn dĩ an toàn. Kết quả, White có thể tạo một kết nối được mã hóa đến https://bankofamerica.com”, nhưng nội dung bên trong của trang này lại là hình ảnh một chú mèo đeo mặt nạ.
Christina-Marie Furtado, phát ngôn viên của Dell, cho biết hãng đã đưa ra hướng dẫn để người dùng có thể loại bỏ eDellRoot khỏi máy tính của họ, và hãng cũng sẽ không đưa chứng chỉ này vào các máy tính xuất xưởng trong tương lai. Theo Furtado, eDellRoot được đưa vào các laptop của hãng nhằm mục đích “cung cấp trải nghiệm người dùng tốt hơn, nhanh hơn và đơn giản hơn". “Thật không may, chứng chỉ đó lại tồn tại một lỗ hổng an ninh không mong muốn”, Furtado cho biết thêm.
Vụ việc lần này của Dell cũng tương tự như sự cố của Lenovo hồi đầu năm, khi hãng sản xuất máy tính từ Trung Quốc bị phát hiện cài đặt sẵn một phần mềm quảng cáo có tên Superfish trên máy tính bán ra của mình. Superfish chặn kết nối Internet và sử dụng một chứng chỉ với các đặc quyền tương tự để chèn quảng cáo vào trình duyệt của người dùng.
Theo Fortune