5 thất bại an toàn IoT lớn nhất năm 2018

Nhiều hệ thống báo động diện rộng đang được sử dụng hiện nay được thiết kế từ những năm 1980 mà không tính đến khả năng các tác nhân xấu sẽ cố gắng can thiệp vào hệ thống. Mặc dù cảnh báo nhầm về tên lửa đạn đạo tại Hawaii ngày 13/01/2018 là do lỗi của con người, nhưng 38 phút từ khi cảnh báo được gửi tới người dân đến khi được rút lại đã gây ra sự hoảng loạn và lo lắng, đặc biệt vì Bắc Triều Tiên đã thử tên lửa đạn đạo vào cuối năm 2017.

Hãng bảo mật Bastille Security (Mỹ) đã tìm ra một lỗ hổng trong hệ thống cảnh báo do Tập đoàn công nghệ Acoustic Technology (ATI) sản xuất. Theo đó, các thông điệp báo động truyền đi có thể bị ghi lại, sửa đổi và gửi lại. ATI đã triển khai bản vá khắc phục lỗi nhưng vẫn không rõ liệu tất cả các hệ thống bị ảnh hưởng đã được vá trong vòng 90 ngày hay không. Tuy nhiên, ATI cho rằng nghiên cứu của Bastille là “hầu như chỉ mang tính lý thuyết” và “vi phạm pháp luật”, mặc dù chính tuyên bố của ATI nhấn mạnh rằng các hệ thống cảnh báo an toàn công cộng được loại trừ khỏi những quy định mà họ trích dẫn.

Tin tặc Nga can thiệp vào phần mềm LoJack để chiếm quyền điều khiển thiết bị

Phần mềm phổ biến có mục đích bảo vệ an toàn thiết bị LoJack (trước đây có tên là Computrace) đã bị nhóm tin tặc tình báo Fancy Bear của Nga lợi dụng. LoJack yêu cầu các nhà sản xuất máy tính chèn một chương trình dropper độc hại vào BIOS, cho phép phần mềm dai dẳng nếu cài đặt lại Windows, mặc dù Fancy Bear có thể chuyển hướng dropper đó trong Windows tới các máy chủ giả mạo cơ sở hạ tầng LoJack mà nhóm tin tặc kiểm soát. Bản chất hợp pháp của LoJack như một tiện ích chống trộm đã khiến các chương trình antivirus bỏ qua cuộc tấn công, khiến nó trở thành mục tiêu hấp dẫn của Fancy Bear.

Kiểu tấn công này được phát hiện hồi tháng 5 dựa vào một thay đổi trong Windows. Còn kiểu tấn công thứ hai cũng liên quan tới Fancy Bear được phát hiện vào tháng 9, được gọi là LoJax, sửa dữ liệu UEFI trong máy tính, khiến cho nó có thể dai dẳng sau khi người dùng đã cài lại Windows hay thay ổ cứng. Mặc dù bộ công cụ (rootkit) này được phát hiện năm 2018 nhưng có thể đã hoạt động từ ít nhất là năm 2004. Theo hãng bảo mật ESET (có trụ sở chính tại Slovakia), LoJax là rootkit UEFI đầu tiên được phát hiện hoạt động trong thực tế.

Các tổ chức thuộc chính phủ của các quốc gia giấu mã độc trong bộ định tuyến trong nhiều năm

Theo mô tả của các nhà nghiên cứu của nhóm Talos thuộc Cisco (Mỹ), mã độc VPNFilter với các tính năng thường thấy ở các nền tảng thu thập thông tin tình báo, như thu thập tệp dữ liệu, thực thi lệnh, truyền dữ liệu ra bên ngoài và quản lý thiết bị, được tìm thấy trong các bộ định tuyến do ASUS, D-Link, Huawei, Linksys, MikroTik, Netgear, TP-Link, Ubiquiti, UPVEL, và ZTE sản xuất, cũng như các thiết bị NAS của QNAP.

Nhóm Talos báo cáo đã phát hiện 500.000 thiết bị bị lây nhiễm mã độc này tại 54 quốc gia khác nhau, với lần lây nhiễm đầu tiên xảy ra từ năm 2016. Cục An ninh Ukraina cho rằng, Nga là nơi xuất phát cuộc tấn công. Các báo cáo ban đầu cho thấy, chỉ cần khởi động lại bộ định tuyến là đủ để xoá bỏ sự lây nhiễm, tuy nhiên cập nhật sau đó cho thấy điều đó là không đủ và khuyến nghị người dùng nên cài lại firmware. Mã độc chứa các lệnh để tấn công các hệ thống điều khiển, sử dụng hệ thống điều khiển giám sát và thu thập dữ liệu (supervisory control and data acquisition), tuy nhiên vẫn không rõ mục tiêu của kẻ tấn công là gì.

Tương tự, mã độc Slingshot được phát hiện đã nằm trong các bộ định tuyến trong 6 năm. Mã độc này có thể thu thập thông tin, dai dẳng và truyền dữ liệu ra ngoài. Các nhà nghiên cứu của hãng bảo mật Seculist đã chỉ ra những điểm tương đồng giữa Slingshot và kiểu tấn công Chimay Red do WikiLeaks công bố trong loạt tài liệu Vault 7, trong đó kiểu tấn công này được cho rằng xuất phát từ CIA.

LocationSmart làm lộ dữ liệu vị trí của tất cả điện thoại di động tại Mỹ

Một trình diễn sản phẩm không an toàn từ công ty dữ liệu định vị địa lý LocationSmart (Mỹ) khiến ai cũng có thể tìm kiếm vị trí của bất kỳ chiếc điện thoại di động nào mà không cần cung cấp mật khẩu hoặc các thông tin xác thực nào khác, áp dụng cho mọi thuê bao của bốn nhà mạng lớn tại Mỹ bao gồm Verizon, AT&T, T-Mobile và Sprint cùng US Cellular và các nhà mạng tại Canada bao gồm Bell, Rogers và Telus. Lỗ hổng này đã được tìm thấy sau khi công ty Securus – chuyên cung cấp các công cụ theo dõi điện thoại thông minh cho cơ quan thực thi pháp luật Mỹ – bị tin tặc tấn công. Theo báo cáo của ZDNet, nhà cung cấp dữ liệu backend của công ty đó là LocationSmart.

Tồi tệ hơn, các nhà mạng di động đã bán dữ liệu cá nhân này cho LocationSmart. Verizon là nhà mạng đầu tiên cam kết ngừng chia sẻ dữ liệu, và ngay sau đó là AT&T, Sprint và T-Mobile.

Amazon Echo ngẫu nhiên ghi âm và gửi đi hội thoại của người dùng tại thành phố Portland

Hai người dùng tại thành phố Portland, Mỹ khiếu nại rằng loa thông minh Amazon Echo đã ghi âm một cuộc hội thoại của họ và gửi nó tới một người trong danh sách liên hệ. Báo cáo ban đầu vẫn còn nhiều nghi vấn, mặc dù Amazon đã xác nhận với CNET rằng sự cố đã xảy ra đúng như mô tả.

Phiên bản thiết bị Amazon Echo Dot trong bản báo cáo ban đầu có khả năng xuất âm thanh ra loa ngoài thông qua cáp âm thanh 3,5mm. Nếu một loa ngoài được gắn vào Amazon Echo Dot nhưng đã bị tắt, bộ phận micrô trong thiết bị Amazon Echo Dot vẫn sẽ hoạt động, mặc dù chủ sở hữu không thể nghe thấy tín hiệu nào từ loa. Báo cáo ban đầu không đề cập đến khả năng này nhưng cũng không xác định chính xác liệu thiết bị có phải là Amazon Echo hay không.

Mặc dù vậy, Amazon vẫn có vấn đề với trợ lý ảo Alexa. Nhà báo chuyên mục công nghệ của tờ Thời báo New York, Farhad Manjoo, đã viết vào tháng 2/2018 về một sự cố mà Echo Dot của anh ta phát ra tiếng động “như một đứa trẻ la hét trong giấc mơ kinh dị”. Vào tháng 3/2018, Amazon cũng đã thực hiện các thay đổi đối với phương thức Alexa hoạt động, sau khi một loạt các báo cáo chỉ ra rằng các thiết bị có thể điều khiển bởi Alexa đã tự ý cười lớn một cách ngẫu nhiên.