WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Tất cả đồng hồ thông minh đều có nguy cơ bị tấn công qua mạng
Tuần qua HP đã chia sẻ kết quả đánh giá an ninh cho thấy tất cả đồng hồ thông minh có chức năng kết nối mạng và chức năng liên lạc đều đứng trước nguy cơ bị tấn công qua mạng.
Nghiên cứu cho thấy 100 % đồng hồ thông minh được thử nghiệm đều chứa các lỗ hổng nguy hiểm như xác thực kém, sử dụng thuật toán mã hóa và bảo mật kém.
HP đã tiến hành đánh giá 10 đồng hồ thông minh hot nhất hiện nay và trên nhiều nền tảng khác nhau như Android và iOS.
Để đánh giá, HP sử dụng phương pháp thử nghiệm Fortify on Demand IoT (xu hướng mọi thứ kết nối internet) kết hợp với kiểm tra thủ công trong quá trình sử dụng các công cụ tự động. Các thiết bị và linh kiện được đánh giá dựa theo Top 10 Internet of Think OWASP và các lỗ hổng cụ thể liên quan tới từng thể loại trong Top 10.
Dưới đây là các vấn đề an ninh chung được HP cảnh báo:
+ Xác thực/phân quyền người dùng không đầy đủ: Mỗi chiếc đồng hồ được kết hợp với nền tảng di động nhưng thiếu xác thực hai yếu tố và thiếu tính năng khóa tài khoản sau 3-5 lần nhập sai mật khẩu. Kết quả là ba trong mười điện thoại được kiểm tra có nguy cơ bị khai thác tài khoản, nghĩa là kẻ tấn công có thể truy cập vào thiết bị và dữ liệu nhờ sự kết hợp giữa chính sách cho phép sử dụng mật khẩu yếu, không khóa tài khoản khi đăng nhập sai nhiều lần và liệt kê tài khoản người dùng.
+ Lỗ hổng trong mã hóa đường truyền: Mã hóa đường truyền là vấn đề quan trọng khi thông tin cá nhân được truyền qua internet hay các nơi lưu trữ khác. Trong khi 100 % thiết bị thử nghiệm đều sử dụng mã hóa đường truyền SSL/TLS, 40% thiết bị có thể bị khai thác bởi tấn công POODLE, hoặc cho phép dùng mật khẩu yếu, hoặc vẫn sử dụng SSL v2.
+ Giao diện không an toàn: 30% thiết bị được thử nghiệm đều sử dụng giao diện web điện toán đám mây và tất cả đều có cơ chế liệt kê tài khoản. Trong một cuộc thử nghiệm riêng, 30% thiết bị đã để lộ tài khoản qua các ứng dụng điện thoại. Lỗ hổng này cho phép kẻ tấn công xác định được tài khoản hợp lệ thông qua phản hồi nhận được từ cơ chế cấp lại mật khẩu mới.
+ Phần mềm/firmware không an toàn: 70% thiết bị kiểm tra đều có vấn đề liên quan tới việc bảo vệ các bản cập nhật firmware bao gồm cả việc truyền thông tin cập nhật firmware mà không cần mã hóa và không mã hóa các tập tin cập nhật. Tuy nhiên, nhiều bản cập nhật được ký xác nhận để ngăn chặn việc cài đặt firmware bị nhiễm độc. Trong khi các bản firmware độc hại không thể được cài đặt thì với mã hóa yếu kẻ tấn công có thể tải về các tập tin firmware và tiến hành phân tích.
+ Vấn đề riêng tư: Tất cả các mẫu điện thoại thông minh đều thu thập một số thông tin cá nhân của người dùng như: tên, địa chỉ, ngày sinh, cân nặng, giới tính và tình trạng sức khỏe. Với việc liệt kê tài khoản và sử dụng mật khẩu yếu trên một số sản phẩm, rò rỉ thông tin cá nhân là một vấn đề đáng lo ngại.
HP không công bố tên của các đồng hồ thông minh được kiểm tra, nhưng có nói đã thông báo cho các nhà sản xuất về kết quả này.
HP cũng khuyến cáo người dùng đồng hồ thông minh nên tắt các chức năng điều khiển truy cập như ra vào xe hơi, nhà trừ khi sử dụng cơ chế xác thực mạnh mẽ. Ngoài ra, HP cho biết kích hoạt chức năng mật mã, sử dụng mật khẩu mạnh và tiến hành xác thực hai yếu tố sẽ giúp ngăn chặn truy cập trái phép vào dữ liệu.
Nghiên cứu cho thấy 100 % đồng hồ thông minh được thử nghiệm đều chứa các lỗ hổng nguy hiểm như xác thực kém, sử dụng thuật toán mã hóa và bảo mật kém.
HP đã tiến hành đánh giá 10 đồng hồ thông minh hot nhất hiện nay và trên nhiều nền tảng khác nhau như Android và iOS.
Để đánh giá, HP sử dụng phương pháp thử nghiệm Fortify on Demand IoT (xu hướng mọi thứ kết nối internet) kết hợp với kiểm tra thủ công trong quá trình sử dụng các công cụ tự động. Các thiết bị và linh kiện được đánh giá dựa theo Top 10 Internet of Think OWASP và các lỗ hổng cụ thể liên quan tới từng thể loại trong Top 10.
Dưới đây là các vấn đề an ninh chung được HP cảnh báo:
+ Xác thực/phân quyền người dùng không đầy đủ: Mỗi chiếc đồng hồ được kết hợp với nền tảng di động nhưng thiếu xác thực hai yếu tố và thiếu tính năng khóa tài khoản sau 3-5 lần nhập sai mật khẩu. Kết quả là ba trong mười điện thoại được kiểm tra có nguy cơ bị khai thác tài khoản, nghĩa là kẻ tấn công có thể truy cập vào thiết bị và dữ liệu nhờ sự kết hợp giữa chính sách cho phép sử dụng mật khẩu yếu, không khóa tài khoản khi đăng nhập sai nhiều lần và liệt kê tài khoản người dùng.
+ Lỗ hổng trong mã hóa đường truyền: Mã hóa đường truyền là vấn đề quan trọng khi thông tin cá nhân được truyền qua internet hay các nơi lưu trữ khác. Trong khi 100 % thiết bị thử nghiệm đều sử dụng mã hóa đường truyền SSL/TLS, 40% thiết bị có thể bị khai thác bởi tấn công POODLE, hoặc cho phép dùng mật khẩu yếu, hoặc vẫn sử dụng SSL v2.
+ Giao diện không an toàn: 30% thiết bị được thử nghiệm đều sử dụng giao diện web điện toán đám mây và tất cả đều có cơ chế liệt kê tài khoản. Trong một cuộc thử nghiệm riêng, 30% thiết bị đã để lộ tài khoản qua các ứng dụng điện thoại. Lỗ hổng này cho phép kẻ tấn công xác định được tài khoản hợp lệ thông qua phản hồi nhận được từ cơ chế cấp lại mật khẩu mới.
+ Phần mềm/firmware không an toàn: 70% thiết bị kiểm tra đều có vấn đề liên quan tới việc bảo vệ các bản cập nhật firmware bao gồm cả việc truyền thông tin cập nhật firmware mà không cần mã hóa và không mã hóa các tập tin cập nhật. Tuy nhiên, nhiều bản cập nhật được ký xác nhận để ngăn chặn việc cài đặt firmware bị nhiễm độc. Trong khi các bản firmware độc hại không thể được cài đặt thì với mã hóa yếu kẻ tấn công có thể tải về các tập tin firmware và tiến hành phân tích.
+ Vấn đề riêng tư: Tất cả các mẫu điện thoại thông minh đều thu thập một số thông tin cá nhân của người dùng như: tên, địa chỉ, ngày sinh, cân nặng, giới tính và tình trạng sức khỏe. Với việc liệt kê tài khoản và sử dụng mật khẩu yếu trên một số sản phẩm, rò rỉ thông tin cá nhân là một vấn đề đáng lo ngại.
HP không công bố tên của các đồng hồ thông minh được kiểm tra, nhưng có nói đã thông báo cho các nhà sản xuất về kết quả này.
HP cũng khuyến cáo người dùng đồng hồ thông minh nên tắt các chức năng điều khiển truy cập như ra vào xe hơi, nhà trừ khi sử dụng cơ chế xác thực mạnh mẽ. Ngoài ra, HP cho biết kích hoạt chức năng mật mã, sử dụng mật khẩu mạnh và tiến hành xác thực hai yếu tố sẽ giúp ngăn chặn truy cập trái phép vào dữ liệu.
Nguồn: Securityweek