PayPal và Facebook đang bị tin tặc tấn công
Các nhà nghiên cứu đã phát hiện ra lỗ hổng mật mã trong việc thực hiện thuật toán RSA mà nhà nghiên cứu an ninh Daniel Bleichenbacher phát hiện trước đây vẫn còn có thể bị tấn công.
Facebook đã thưởng nóng cho nhóm an ninh phát hiện ra cuộc tấn công ROBOT. ẢNH: AFP
Theo hãng bảo mật Trend Micro, cuộc tấn công được gọi là ROBOT (Return of Bleichenbacher’s Oracle Threat), ảnh hưởng đến 27 trang web trong top 100 của Alexa, gồm các trang web lớn như PayPal và Facebook.
Được phát hiện bởi ba nhà nghiên cứu an ninh Hanno Bck, Juraj Somorovsky và Craig Young, ROBOT cho phép kẻ tấn công có thể nhận được khóa mã hóa cá nhân cần thiết cho việc giải mã lưu lượng truy cập HTTPS trong một số điều kiện nhất định. Cho đến thời điểm này chưa có bất kỳ báo cáo hoặc ghi nhận nào cho thấy ROBOT đã bị khai thác.
Video đang HOT
ROBOT dựa trên lỗ hổng được tìm thấy bởi Bleichenbacher vào năm 1998, cho phép sử dụng các cuộc tấn công ào ạt để đoán chính xác một khóa phiên và giải mã tin nhắn HTTPS giữa các máy chủ TLS (HTTPS) và trình duyệt của khách hàng. Điều này có thể xảy ra nếu khóa phiên được mã hóa bằng thuật toán RSA và sử dụng hệ thống đệm PKCS #1 1.5. Kẻ tấn công có thể gửi khóa phiên tới máy chủ TLS và hỏi xem nó có hợp lệ không – máy chủ sẽ trả lời “Yes” hoặc “No” cho đến khi kẻ tấn công mua khóa phiên. Mặc dù thiếu sót này đã được khắc phục gần hai thập kỷ nhưng ROBOT vẫn có thể tận dụng vì các biện pháp đối phó lỗ hổng là phức tạp và không thực hiện đúng.
Các nhà nghiên cứu cho biết: “Đối với các máy chủ dễ bị tấn công và chỉ hỗ trợ trao đổi khóa mã hóa RSA, nó có thể là nạn nhân. Điều đó có nghĩa kẻ tấn công có thể ghi lại lưu lượng thụ động và sau đó giải mã nó. Đối với các máy chủ thường sử dụng khóa chuyển tiếp nhưng vẫn hỗ trợ mã khóa RSA, các rủi ro trong chuyển tiếp phụ thuộc vào tốc độ tấn công có thể thực hiện”.
Để chứng minh tính hợp lý của cuộc tấn công ROBOT, các nhà nghiên cứu đã ghi nhận được khóa chứng nhận HTTPS của Facebook để họ có thể mạo danh thành công trang web. Facebook đã sửa lỗi này vào tháng 10 và cung cấp một khoản tiền thưởng cho nhóm nghiên cứu. Các nhà nghiên cứu cũng thông báo lỗi đến các trang web và nhà cung cấp dễ bị tổn thương khác.
Cũng theo Trend Micro, các nhà nghiên cứu cũng tung ra công cụ kiểm tra tại đây, để giúp các trang web khác kiểm tra xem mình có bị tấn công bởi ROBOT hay không.
Thành Luân
Theo Thanhnien
Có thể gửi và nhận tiền trong Facebook Messenger bằng PayPal
Facebook vừa nâng cấp tính năng tích hợp PayPay trên ứng dụng nhắn tin của mình, nhằm giúp mọi người thực hiện gửi hoặc nhận tiền dễ dàng hơn.
Người dùng Facebook tại Mỹ giờ đã có thể gửi hoặc nhận tiền PayPay bằng Messenger. ẢNH: FACEBOOK
Theo PhoneArena, vào năm 2016, Facebook và PayPal đã bắt đầu cung cấp cho người dùng một cách dễ dàng hơn để mua hàng trực tuyến trên Facebook Messenger bằng cách sử dụng tài khoản PayPal của họ.
Giờ đây hai công ty đã mở rộng tính năng này bằng cách cho phép người dùng chọn tài khoản PayPay để thực hiện thao tác gửi hoặc nhận tiền trực tiếp ngay trong Facebook Messenger.
Tính năng mới hiện được triển khai cho khách hàng Facebook đang sinh sống ở Mỹ. Trước đây, người dùng có thể gửi và nhận tiền trên Facebook Messenger bằng cách liên kết thẻ ghi nợ hoặc thẻ tín dụng của họ với Facebook, nhưng tích hợp PayPay sẽ làm công việc chuyển tiền trở nên thuận tiện hơn.
Để gửi/nhận tiền, người dùng chỉ cần nhấn vào biểu tượng dấu cộng màu xanh, và sau đó chọn nút Payments màu xanh lục để thực hiện giao dịch. Tính năng này không giới hạn cho người duy nhất mà áp dụng cho cả một nhóm người.
Kiến Văn
Theo Thanhnien
Nhiều máy Mac chạy sai firmware, dễ bị tin tặc tấn công Hãng bảo mật Duo Security cho biết có khoảng 4,2% trong số 73.000 chiếc máy tính Mac được hãng khảo sát hiện chạy sai phiên bản firmware và có nguy cơ trở thành nạn nhân của các cuộc tấn công mạng. Nhiều mẫu máy Mac hiện sử dụng các phiên bản firmware chưa được cập nhật. ẢNH: REUTERS Theo Reuters, việc khai thác...