5 lỗ hổng khiến tin tặc tấn công vào các phần mềm trực tuyến
- Công nghệ mới
- 19:01 - 16/04/2020
Trước tình hình dịch bệnh Covid-19 lây lan nhanh chóng, biện pháp giãn cách xã hội đã được triển khai trên nhiều nước cũng như tại Việt Nam. Từ đó, nhiều tổ chức, doanh nghiệp đã áp dụng và phát huy phương cách làm việc trực tuyến, nghĩa là có thể làm việc ở bất cứ đâu (văn phòng, tại nhà…) miễn có thể kết nối được vào internet, để duy trì việc vận hành và hoạt động của doanh nghiệp. Điều này cũng không ngoại lệ đối với các cơ sở giáo dục và đào tạo, với đặc thù tổ chức các khóa học cho các nhóm học viên từ số lượng vài chục đến vài trăm học viên.
Trong các phần mềm dùng cho việc cộng tác, hội họp, giảng dạy trực tuyến hiện nay, Zoom và Microsoft Teams là 2 giải pháp được sử dụng rộng rãi tại Việt Nam. Tuy nhiên, các vấn đề bảo mật, an toàn thông tin liên quan đến một trong hai phần mềm nói trên - Zoom trở thành chủ đề "nóng" trên các phương tiện truyền thông và cộng đồng công nghệ thông tin cũng như người dùng.
Ông Lê Quốc Bảo, Phó Giám đốc Trung tâm An toàn Thông tin HPT (HSE) đã kịp thời tổng hợp, đánh giá và đưa ra những khuyến nghị thiết thực cũng như nhấn mạnh vai trò và sự đóng góp để giải quyết những vấn đề này của HSE nói riêng và HPT nói chung như sau:
"Trên kho ứng dụng Google Play, hiện Zoom đã đạt trên 28 triệu lượt tải về. Còn theo số liệu thống kê chính thức, Zoom hiện chiếm 20% thị phần toàn cầu về ứng dụng họp trực tuyến với hơn 12,92 triệu người dùng hoạt động hàng tháng, trở thành một trong những nền tảng họp trực trực tuyến phổ biến nhất hiện nay.
Tại Việt Nam, Zoom Cloud Meetings hiện là ứng dụng được tải về nhiều nhất, trên cả iOS và Android, được nhiều công ty, trường học sử dụng để phục vụ việc họp và học từ xa nhằm đối phó với đại dịch Covid-19. Số lượng người tham gia cuộc họp video hằng ngày trên các dịch vụ miễn phí và trả phí của Zoom đã tăng từ khoảng 10 triệu vào cuối năm 2019 lên 200 triệu ở thời điểm hiện tại, hầu hết đều là miễn phí. Cũng chính vì độ phổ biến của ứng dụng Zoom càng khiến các tin tặc tranh thủ khai thác lỗ hổng bảo mật của ứng dụng này thông qua nhiều hình thức.
Lộ thông tin người dùng - Information Leak (iOS): Đối với cơ chế "Login with Facebook" từ bộ SDK được tích hợp trong ứng dụng chạy trên thiết bị iOS nhằm hỗ trợ đăng nhập nhanh cho người dùng đã để lộ nhiều thông tin cơ bản trên thiết bị, phiên bản phần mềm đang sử dụng, địa chỉ IP. Zoom đã gỡ bỏ chức năng này sau khi tin đăng lên mạng 2 ngày.
Vượt cơ chế xác thực Email - Forge Request: Lợi dụng cơ chế đăng nhập liên kết tài khoản FB mà các ứng dụng hay dùng để hỗ trợ nhanh cơ chế đăng ký tài khoản, khi tài khoản FB không phải được đăng ký từ Email thì Zoom cung cấp tính năng xác thực Email này, cơ chế bình thường của chức năng. Tuy nhiên, giữa bước gửi Email và xác nhận Email tồn tại lỗ hổng khiến cho kẻ tấn công có thể tự bản thân xác thực bất kỳ email (giả mạo yêu cầu) tới Zoom. Khi đó, hacker sẽ đăng ký các tài khoản dựa theo các Tên miền của doanh nghiệp (theo tên miền) đã đăng ký Zoom, trở thành thành viên của doanh nghiệp đó. Theo cơ chế này, hacker sẽ thấy toàn bộ danh sách người dùng đang sử dụng và lợi dụng thông tin để tấn công Phishing người dùng. Lỗ hổng này đã được khắc phục ngay sau đó.
E2E Encryption: Các cuộc họp video call & conference của Zoom có thể bị nghe lén do không sử dụng mã hóa giữa các thiết bị đầu cuối end-to-end (E2E) công bố ngày 31/3/2020. Khi hacker nghe lén các cuộc họp trên Zoom, hacker có thể ghi lại nội dung cuộc họp và sử dụng vào các mục đích trục lợi. Đặc biệt, tính năng này được Zoom cam kết trên trang chủ khi cung cấp dịch vụ.
Zoom tồn tại lỗ hổng trong quá trình xử lý các UNC Path được gửi trong các cuộc trò chuyện (\\hacker.com\abc) dẫn đến việc lộ mật khẩu đã băm (NTLM hash) khi Windows thực hiện truy cập dưới hình thức Network Share. Hacker có thể gửi một đường link từ đó Zoom hiểu là sử dụng đường dẫn UNC (viết tắt: Universal Naming Convention or Uniform Naming Convention) và khi người dùng click vào để lợi dụng Zoom gửi chuỗi băm mật khẩu NTML Hash tới đường dẫn UNC đã gửi bởi Hacker, các thông tin được máy nạn nhân gửi thông qua giao thức SMB đi ra tới máy hacker (giao thức này hoạt động trong mạng LAN và gần như bị chặn hết ở đầu ISP), kịch bản tấn công khi hacker ở cùng mạng với nạn nhân.
Mối liên quan giữa mã hóa, Zoom và Trung Quốc: Các nhà nghiên cứu chỉ ra rằng Zoom sử dụng cơ chế mã hóa (toàn bộ cuộc gọi, chứ không phải E2E) bằng thuật toán AES với cơ chế sử dụng là ECB (ECB là cơ chế mã hóa kém an toàn). Đồng thời, các máy chủ lưu trữ Key được đặt tại Trung Quốc với hơn 700 chuyên gia, nhà phát triển phần mềm làm việc tại đây.
Để tránh lộ thông tin này người dùng không nên click vào những đường link lạ trên các nhóm chat trên Zoom. Nếu cần mở link thì nên mở link trên tab ẩn danh của trình duyệt.
Khuyến nghị với người dùng:
Luôn cập nhật phiên bản mới nhất của ứng dụng để được cập nhật các bản vá lỗi chính thức từ Zoom. Thiết lập mật khẩu cho cuộc gọi (6 số ngẫu nhiên) để có thể ngăn chặn kẻ tấn công có thể truy cập vào cuộc gọi mà không cần chứng thực. Kích hoạt tính năng phòng chờ để ngăn người dùng tham gia cuộc họp cho đến khi có sự cho phép của chủ phòng (host). Không chia sẻ ID cuộc họp ngoài những người được quyền tham gia cuộc họp. Kích hoạt tính năng khóa cuộc họp khi đã đủ người tham gia. Luôn cảnh giác với các link được gửi đính kèm trong ứng dụng Zoom…