Theo thông tin vừa nhận, mới đây một nhóm các “mã hoá viên” đã phát hiện ra một lỗ hổng bảo mật nghiêm trọng trên các thiết bị iOS, Mac và Android được biết đến với tên gọi “Factoring attack on RSA-EXPORT Key” (FREAK).
FREAK đã xuất hiện từ những năm 90, tuy nhiên cho đến thời điểm hiện tại lỗ hổng này vẫn được các hacker tận dụng triệt để để đánh cắp dữ liệu người dùng nếu họ truy cập vào một số trang web bằng trình duyệt của thiết bị như Whitehouse.gov, NSA.gov và FBI.gov. Danh sách chi tiết bạn có thể xem tại đây: FREAK Attack.
Trước đây vào những năm 90, Chính phủ Mỹ đã yêu cầu các công ty trong nước chỉ sử dụng mức độ mã hoá an ninh cao cho các lượt truy cập trong nước, đồng thời sử dụng mức độ mã hoá yếu hơn (cụ thể là 512-bit) đối với các lượt truy cập từ nước ngoài.
Tuy nhiên, ngay sau đó yêu cầu này đã bị gỡ bỏ, nhưng đã quá muộn, cộng đồng hacker đã nhanh chóng khai thác lổ hổng này và dùng phần mềm lưu lại cơ chế làm việc của FREAK nhằm làm yếu mức an ninh của một trang web bằng cách can thiệp vào giao thức HTTPS giữa máy khách và máy chủ. Trang web bị tấn công ngay sau đó sẽ bị buộc phải hạ mức bảo mật và mã hoá xuống mức yếu, từ đó, thông tin những ai truy cập vào web sẽ dễ dàng bị đánh cắp.
Để có thể tấn công một trang web mã hoá 512-bit, một hacker chỉ mất 7 giờ với sức mạnh của 75 chiếc máy tính. Trong đó, để tấn công hệ thống 1024-bit thì phải cần đội ngũ hacker đông đảo với hàng triệu chiếc máy tính và mất thời gian hơn 1 năm để tiến hành.
Cho đến thời điểm hiện tại thì cả Apple và Google đều đã hoàn thành các bản vá và dự định sẽ tung ra ngay trong cuối tuần này hoặc trong tuần sau. Với Apple thì đơn giản hơn vì tất cả thiết bị đều nằm dưới sự kiểm soát của hãng.
Còn với Google thì hãng phải làm việc với nhiều nhà sản xuất, sau đó gửi bản vá này và chờ phía đối tác cập nhật cho sản phẩm. Google cho biết biện pháp tạm thời đó là những website bị ảnh hưởng nên vô hiệu hoá việc hỗ trợ các mã hoá ít an toàn và có mức độ an ninh yếu.
Có thể nói đây là một lỗi cực kì nguy hiểm, và nếu các hãng không sớm khắc phục thì khi đó một số lượng lớn người dùng sẽ bị đánh cắp tài khoản, đó là chưa kể đến việc khách hàng kiện tụng, làm mất uy tín cũng như hạ thấp giá trị thương hiệu của sản phẩm.