Lỗ hổng VPN bypass được phát hiện đầu tiên bởi chuyên gia bảo mật của Proton, ảnh hưởng đến iOS 13.3.1 và cả những phiên bản iOS 13.4 vừa được phát hành ngày 24/3/2020. ProtonVPN cho biết, họ công bố lỗ hổng để tất cả nhà cung cấp VPN và người dùng cuối nhận thức được tầm quan trọng của vấn đề này.
Lỗ hổng bảo mật này ngăn các mạng riêng ảo (VPN) không thể mã hóa lưu lượng truy cập, từ đó làm lộ dữ liệu cá nhân người dùng hoặc cung cấp chi tiết địa chỉ IP cho kẻ tấn công, bằng cách bỏ qua mã hóa VPN mặc định. Tính đến nay, Apple chưa đưa ra bản sửa lỗi nào liên quan đến lỗ hổng, người dùng chỉ có thể chờ bản cập nhật mới nhất của iOS.
VPN thường được sử dụng để mã hóa lưu lượng truy cập mạng Internet. Khi kích hoạt VPN trên thiết bị, hệ điều hành của máy sẽ đóng kết nối Internet hiện có và thiết lập lại thông qua đường hầm VPN. Tuy nhiên, lỗ hổng được phát hiện trong các bản phát hành iOS gần đây đã hạn chế hệ điều hành đóng tất cả kết nối Internet hiện có.
Dù hầu hết các kết nối Internet đều tồn tại trong thời gian ngắn và có khả năng được thiết lập khi kích hoạt VPN, nhưng một số kết nối vẫn có thể hoạt động trong nhiều giờ bên ngoài đường hầm. Dịch vụ thông báo đẩy của Apple là một ví dụ cho việc duy trì kết nối lâu dài giữa thiết bị và máy chủ của Apple. Chính điều này mang lại một số mối quan ngại về vấn đề an ninh.
“Lỗ hổng bỏ qua VPN có thể dẫn đến việc dữ liệu của người dùng bị lộ nếu các kết nối bị ảnh hưởng không được mã hóa (dù đây là hiện tượng bất thường). Vấn đề phổ biến hơn là rò rỉ IP, kẻ tấn công có thể thấy địa chỉ IP của người dùng và cả địa chỉ IP các máy chủ mà họ đang kết nối”, ProtonVPN giải thích.
Để tìm hiểu về lỗ hổng, nhóm nghiên cứu đã sử dụng bộ phân tích Wireshark để nắm bắt lưu lượng truy cập mạng của thiết bị iOS. Khi thiết bị kết nối với VPN, người dùng chỉ có thể thấy lưu lượng giữ IP thiết bị và máy chủ VPN hoặc địa chỉ IP cục bộ (những thiết bị khác trên mạng cục bộ). Hình chụp bên dưới cho thấy có lưu lượng truy cập trực tiếp giữa IP của thiết bị iOS và địa chỉ IP bên ngoài, không phải máy chủ VPN (trong trường hợp này là máy chủ Apple).
Nhóm nghiên cứu cũng cho biết lỗ hổng này ảnh hưởng nhiều nhất đến người dùng ở những nước giám sát công dân chặt chẽ, bất chấp quyền riêng tư. Mặt khác, các nhà cung cấp dịch vụ VPN chưa thể đưa ra cách khắc phục vì lỗ hổng tồn tại ở cấp hệ điều hành.
Người dùng bị ảnh hưởng có thể giảm thiểu lỗ hổng VPN bypass trên thiết bị bằng cách bật và tắt chế độ máy bay sau khi kết nối với dịch vụ VPN. Điều này có khả năng thiết lập lại kết nối với các kết nối Internet hiện có thông qua đường hầm VPN.
Hiện tại, Apple đã được báo cáo về lỗ hổng, dự kiến sẽ phát hành bản sửa lỗi trong bản cập nhật iOS sắp tới. Nhà sản xuất iPhone khuyến nghị người dùng nên chọn “VPN Luôn bật”, tùy chọn này này yêu cầu phần mềm quản lý thiết bị mã hóa tất cả lưu lượng truy cập thông qua dịch vụ VPN. Tuy nhiên, cách này không hạn chế được sự cố trên những ứng dụng VPN bên thứ ba.
Vì iPadOS cũng được xây dựng trên nền tảng iOS nên cũng có lỗ hổng VPN tương tự. Người dùng có thể sử dụng những cách giải quyết trên để tạm thời khắc phục lỗ hổng.
Tuy nhiên, các nhà nghiên cứu khuyến cáo các cách giải quyết trên không đảm bảo àn toàn tuyệt đối cho người dùng.
Trí Công
09:00 | 19/02/2019
14:00 | 14/01/2021
09:16 | 14/04/2017
14:00 | 09/06/2020
13:00 | 28/05/2020
11:00 | 04/06/2016
09:00 | 06/05/2020
08:00 | 26/06/2020
14:00 | 25/04/2024
Nhóm tình báo mối đe dọa Threat Intelligence của Microsoft cho biết, các tác nhân đe dọa đang tích cực khai thác các lỗ hổng nghiêm trọng trong OpenMetadata để có quyền truy cập trái phép vào khối lượng workload trong Kubernetes và lạm dụng chúng cho hoạt động khai thác tiền điện tử.
14:00 | 24/04/2024
Europol đưa ra thông báo, nền tảng cung cấp dịch vụ lừa đảo (PhaaS) LabHost vừa bị triệt phá trong chiến dịch kéo dài 1 năm của các nhà hành pháp toàn cầu, 37 nghi phạm bị bắt giữ.
08:00 | 12/03/2024
Mới đây, các nhà nghiên cứu từ Trung tâm Ứng phó khẩn cấp bảo mật AhnLab - ASEC (Hàn Quốc) phát hiện phần mềm độc hại mới có tên WogRAT, đang được các tác nhân đe dọa triển khai trong các cuộc tấn công lạm dụng nền tảng Notepad trực tuyến có tên là aNotepad để bí mật lưu trữ và truy xuất mã độc trên cả Windows và Linux.
07:00 | 11/03/2024
Mới đây, các nhà nghiên cứu của hãng bảo mật Kaspersky (Nga) đã phát hiện một Trojan ngân hàng tinh vi mới đánh cắp thông tin tài chính nhạy cảm có tên là Coyote, mục tiêu là người dùng của hơn 60 tổ chức ngân hàng, chủ yếu từ Brazil. Điều chú ý là chuỗi lây nhiễm phức tạp của Coyote sử dụng nhiều kỹ thuật tiên tiến khác nhau, khiến nó khác biệt với các trường hợp lây nhiễm Trojan ngân hàng trước đó. Phần mềm độc hại này sử dụng trình cài đặt Squirrel để phân phối, tận dụng NodeJS và ngôn ngữ lập trình đa nền tảng tương đối mới có tên Nim làm trình tải (loader) trong chuỗi lây nhiễm. Bài viết này sẽ phân tích hoạt động và khám phá khả năng của Trojan ngân hàng này.
Một nhóm tin tặc được cho là từ Việt Nam đang nhắm mục tiêu vào các tổ chức tài chính ở châu Á để đánh cắp các dữ liệu tài chính.
10:00 | 24/04/2024