Hacker có thể chiếm quyền kiểm soát tất cả smartphone

Radio phát sóng ở các tháp sóng mạng viễn thông cũng nằm trong danh sách các thiết bị mạng bị ảnh hưởng bởi lỗ hổng bảo mật - Ảnh minh họa: Shutterstock

Một khám phá mới đưa mức độ nguy hiểm của những lỗi hổng bảo mật lên tầm cao hơn về độ nguy hiểm lẫn quy mô ảnh hưởng. Tuy nhiên, để tấn công lỗ hổng bảo mật này, hacker phải có trình độ "hạng siêu" kết hợp với những tài nguyên và yếu tố khác nhưng một khi đã khai thác thành công, hacker có toàn quyền điều khiển trên gần như tất cả thiết bị di động bị ảnh hưởng trên toàn cầu.

Lỗ hổng nằm trong một thư viện mã được dùng rộng rãi trong nhiều sản phẩm, trang thiết bị viễn thông bao gồm bộ định tuyến (router và switch), radio dùng trong các tháp phát sóng mạng, và cả những chip mạng có mặt trong những chiếc điện thoại di động cá nhân của người tiêu dùng.

Bộ thư viện mã nguồn ASN.1 (Abstract Syntax Notation One) được phát triển bởi Objective Systems (Mỹ) thường được dùng như một tiêu chuẩn truyền thông liên lạc. Chuyên gia an ninh mạng HD Moore mô tả ASN.1 như là "xương sống" của hệ thống truyền thông di động ngày nay.

Theo giới nghiên cứu an ninh mạng công bố trên mạng GitHub, lỗ hổng có thể được hacker kích hoạt từ xa mà không phải qua khâu chứng thực quyền hạn nào. Hacker có thể tận dụng lỗ hổng để nhận và xử lý dữ liệu mã hóa ASN.1 từ những nguồn không chứng thực.

"Liên lạc giữa các thiết bị di động, giữa các điểm hạ tầng mạng viễn thông, giữa các điểm truyền tin trong một mạng của một nhà mạng hoặc xuyên suốt các nhà mạng...", cảnh báo từ giới an ninh mạng cho thấy mức độ ảnh hưởng rộng lớn cho mạng thông tin liên lạc trên toàn cầu.

Theo ArsTechnica, chuyên gia an ninh mạng HD Moore gọi lỗ hổng này là một "vấn đề lớn" vì nguy cơ chiếm toàn quyền kiểm soát khi khai thác tấn công.

Tuy nhiên, chuyên gia HD Moore hạ thấp mức độ nguy hiểm của việc tấn công vào hạ tầng mạng viễn thông của các nhà mạng thông qua nguy cơ này, vì phải có những thử nghiệm trên các thiết bị mạng cụ thể khi nhắm đến một nhà mạng, độ khó khi tạo ra mã tấn công vào các thành phần bên trong mạng... 

Trung tâm Ứng cứu Khẩn cấp Máy tính (CERT) Hoa Kỳ đã đưa ra cảnh báo về nguy cơ an ninh trên qua website kb.cert.org. Trong khi đó, giới an ninh mạng phối hợp với những nhà mạng cũng như các hãng sản xuất trang thiết bị mạng tìm và khắc phục những sản phẩm bị ảnh hưởng bởi lỗ hổng.

Công ty Objective Systems vừa phát hành bản vá khẩn cấp cho ASN.1 nhưng việc áp dụng bản vá vào hàng tỉ thiết bị phần cứng trên toàn cầu là một việc không thể ngày một ngày hai.

Đối với cá nhân, người dùng hoàn toàn bị động.