PayPal và Facebook đang bị tin tặc tấn công

Mai Phương Lý22:05 15/12/2017

Các nhà nghiên cứu đã phát hiện ra lỗ hổng mật mã trong việc thực hiện thuật toán RSA mà nhà nghiên cứu an ninh Daniel Bleichenbacher phát hiện trước đây vẫn còn có thể bị tấn công.

Facebook đã thưởng nóng cho nhóm an ninh phát hiện ra cuộc tấn công ROBOT. ẢNH: AFP

Theo hãng bảo mật Trend Micro, cuộc tấn công được gọi là ROBOT (Return of Bleichenbacher’s Oracle Threat), ảnh hưởng đến 27 trang web trong top 100 của Alexa, gồm các trang web lớn như PayPal và Facebook.

Được phát hiện bởi ba nhà nghiên cứu an ninh Hanno Bck, Juraj Somorovsky và Craig Young, ROBOT cho phép kẻ tấn công có thể nhận được khóa mã hóa cá nhân cần thiết cho việc giải mã lưu lượng truy cập HTTPS trong một số điều kiện nhất định. Cho đến thời điểm này chưa có bất kỳ báo cáo hoặc ghi nhận nào cho thấy ROBOT đã bị khai thác.

Video đang HOT

ROBOT dựa trên lỗ hổng được tìm thấy bởi Bleichenbacher vào năm 1998, cho phép sử dụng các cuộc tấn công ào ạt để đoán chính xác một khóa phiên và giải mã tin nhắn HTTPS giữa các máy chủ TLS (HTTPS) và trình duyệt của khách hàng. Điều này có thể xảy ra nếu khóa phiên được mã hóa bằng thuật toán RSA và sử dụng hệ thống đệm PKCS #1 1.5. Kẻ tấn công có thể gửi khóa phiên tới máy chủ TLS và hỏi xem nó có hợp lệ không – máy chủ sẽ trả lời “Yes” hoặc “No” cho đến khi kẻ tấn công mua khóa phiên. Mặc dù thiếu sót này đã được khắc phục gần hai thập kỷ nhưng ROBOT vẫn có thể tận dụng vì các biện pháp đối phó lỗ hổng là phức tạp và không thực hiện đúng.

Các nhà nghiên cứu cho biết: “Đối với các máy chủ dễ bị tấn công và chỉ hỗ trợ trao đổi khóa mã hóa RSA, nó có thể là nạn nhân. Điều đó có nghĩa kẻ tấn công có thể ghi lại lưu lượng thụ động và sau đó giải mã nó. Đối với các máy chủ thường sử dụng khóa chuyển tiếp nhưng vẫn hỗ trợ mã khóa RSA, các rủi ro trong chuyển tiếp phụ thuộc vào tốc độ tấn công có thể thực hiện”.

Để chứng minh tính hợp lý của cuộc tấn công ROBOT, các nhà nghiên cứu đã ghi nhận được khóa chứng nhận HTTPS của Facebook để họ có thể mạo danh thành công trang web. Facebook đã sửa lỗi này vào tháng 10 và cung cấp một khoản tiền thưởng cho nhóm nghiên cứu. Các nhà nghiên cứu cũng thông báo lỗi đến các trang web và nhà cung cấp dễ bị tổn thương khác.

Cũng theo Trend Micro, các nhà nghiên cứu cũng tung ra công cụ kiểm tra tại đây, để giúp các trang web khác kiểm tra xem mình có bị tấn công bởi ROBOT hay không.

Thành Luân

Theo Thanhnien

Nhiều máy Mac chạy sai firmware, dễ bị tin tặc tấn công Hãng bảo mật Duo Security cho biết có khoảng 4,2% trong số 73.000 chiếc máy tính Mac được hãng khảo sát hiện chạy sai phiên bản firmware và có nguy cơ trở thành nạn nhân của các cuộc tấn công mạng. Nhiều mẫu máy Mac hiện sử dụng các phiên bản firmware chưa được cập nhật. ẢNH: REUTERS Theo Reuters, việc khai thác...

Bạn thấy bài viết này có hữu ích không?

Có

Không

Tin liên quan

Xem thêm Share

Xem nhiều

Vì sao pin smartphone Android kém hơn sau khi cập nhật phần mềm02:20

Windows 11 chiếm bao nhiêu dung lượng ổ cứng?01:07

5 điều nhà sản xuất smartphone không nói cho người mua08:58

iPhone sẽ 'suy tàn' sau 10 năm nữa?00:36

One UI 7 đến với dòng Galaxy S2103:50

Tiêu điểm

Tin đang nóng

Tin mới nhất

Giải pháp bảo mật nhận dạng mặt nạ silicon

22:08:30 19/05/2025

Giải pháp xác thực định danh điện tử do FPT phát triển vừa đạt hai chứng nhận quốc tế trong lĩnh vực sinh trắc học, giúp tăng cường bảo mật và chống lại các hình thức lừa đảo khi giao dịch trực tuyến.

Khi AI biết kiểm chứng thông tin: Bước tiến mới từ Viettel AI tại NAACL 2025

18:51:11 19/05/2025

Tại NAACL 2025, một trong những hội nghị AI hàng đầu thế giới tổ chức tại Hoa Kỳ, Viettel AI đã giới thiệu VeGraph - phương pháp kiểm chứng thông tin giúp tăng độ chính xác lên tới 5% so với các phương pháp hiện có.

AirPods không còn là 'tai nghe' đơn thuần

14:31:07 19/05/2025

Trước đó, Táo khuyết đã giới thiệu 2 tính năng mới cho tai nghe AirPods Max. Kể từ bản cập nhật iOS 18.4, thiết bị sẽ hỗ trợ độ trễ cực thấp và khả năng phát âm thanh chất lượng cao (lossless) qua cáp USB-C.

Cân nhắc khi thử nghiệm bản beta của One UI 8

14:09:52 19/05/2025

Samsung có thể bắt đầu thử nghiệm beta của One UI 8 dựa trên Android 16 cho các thiết bị Galaxy trong thời gian sớm.

Bùng nổ trí tuệ nhân tạo làm tăng mạnh nhu cầu về NAND Flash

14:09:41 19/05/2025

Để đáp ứng xu hướng này, Kioxia đang tập trung vào các sản phẩm tiên tiến như SSD PCIe 5.0 LC9 dung lượng 122,88 TB và công nghệ NAND 3D 332 lớp, mang lại tốc độ truyền dữ liệu nhanh hơn 33% và hiệu suất năng lượng tốt hơn.

5 ứng dụng Samsung người dùng Galaxy nên tải về do không cài sẵn

14:07:09 19/05/2025

Khi nhắc đến các ứng dụng độc quyền của Samsung, nhiều người dùng Galaxy thường có cái nhìn tiêu cực khi cho rằng chúng là rác hoặc không cần thiết.

Dung lượng pin iPhone 17 Air là 'nỗi thất vọng lớn'

14:02:45 19/05/2025

Với thiết kế hứa hẹn mỏng hơn cả Galaxy S25 Edge mà Samsung ra mắt gần đây, nhiều người có thể đặt dấu hỏi về pin trên iPhone 17 Air sẽ ra sao.

Tại sao phích cắm ba chấu lại quan trọng hơn chúng ta nghĩ?

13:58:17 19/05/2025

Chắc hẳn người dùng từng gặp tình huống khó chịu khi cố gắng kết nối một thiết bị với phích cắm ba chấu nhưng lại chỉ có ổ cắm hai chấu sẵn có.

16 GB RAM không còn đủ cho game thủ

13:54:02 19/05/2025

16 GB từng là chuẩn mực cho RAM PC chơi game, nhưng sự phát triển không ngừng của công nghệ và game AAA, dung lượng này đang dần trở nên không đủ.

One UI 7 có siêu năng lực mà Google có thể sao chép

09:21:32 19/05/2025

Đánh giá ban đầu cho thấy khả năng xử lý ngày và giờ của One UI 7 thậm chí còn ấn tượng hơn so với Tick Tick. Tuy nhiên, một nhược điểm của Samsung Calendar là nó giữ lại toàn bộ thông tin mà người dùng nhập vào tiêu đề sự kiện hoặc lời...

TikTok tích hợp tính năng AI mới đầy 'ma thuật'

20:41:41 18/05/2025

TheoGizChina, nền tảng video ngắn TikTok vừa tiếp tục khẳng định vị thế tiên phong trong đổi mới sáng tạo, bằng việc tung ra một công cụtrí tuệ nhân tạo(AI) mới đầy mạnh mẽ mang tên AI Alive .