Apple, Microsoft đồng loạt “vá” lỗ hổng nguy hiểm từ 10 năm qua

Apple đã chính thức phát hành phiên bản iOS 8.2 mới nhất cùng với chiếc đồng hồ thông minh Apple Watch tại sự kiện đặc biệt diễn ra vào ngày 9/3 vừa qua. Điểm đáng chú ý nhất trên phiên bản iOS 8.2 là Apple đã vá lại lỗ hổng bảo mật có tên “FREAK”, một lỗ hổng bảo mật tồn tại suốt hơn 10 năm qua trên các nền tảng và trình duyệt web.

Cũng như Apple, Microsoft cũng vừa phát hành 14 bản vá lỗi khác nhau cho hệ điều hành Windows của mình, trong đó có bản vá lỗi dành cho lỗ hổng bảo mật nguy hiểm FREAK. Các bản vá lỗi dành cho Windows, trình duyệt Internet Explorer, Office, SharePoint Server và Exchange Server.

Được phát hiện vào đầu tháng này, FREAK (Factoring attack on RSA-EXPORT Keys) là một lỗ hổng bảo mật trên giao thức SSL/TLS, mà cho phép hacker có thể khai thác và âm thầm theo dõi dữ liệu được chuyển đi từ máy tính và máy chủ. Các hacker cũng có thể khai thác lỗ hổng bảo mật này để cài đặt mã độc vào máy tính của người bằng cách lừa người dùng truy cập vào các trang web có chứa mã độc.

Không chỉ trình duyệt Internet Explorer, lỗ hổng bảo mật FREAK còn ảnh hưởng trên trình duyệt web Safari của Apple và Chrome của Google (bao gồm vả phiên bản Chrome dành cho Android).

Bên cạnh Apple và Microsoft, Google cũng cho biết sẽ phát hành bản nâng cấp bảo mật cho các nhà sản xuất thiết bị và các nhà cung cấp dịch vụ mạng để sớm vá lại lỗ hổng bảo mật FREAK trên nền tảng Android của hãng.

Ngoài ra, theo các chuyên gia bảo mật, 36% các trang web sử dụng giao thức HTTPS được thử nghiệm đều có chứa lỗ hổng bảo mật FREAK có thể bị khai thác, trong đó có các trang web của chính phủ liên bang Mỹ như fbi.gov (trang web của FBI), whitehouse.gov (trang web của Nhà Trắng) và nsa.gov (trang web NSA)...

Một điều đáng chú ý, lỗ hổng bảo mật FREAK đã từng tồn tại trên các hệ thống trong suốt hơn 10 năm qua tuy nhiên chỉ đến năm 2015 mới được phát hiện ra. Tuy nhiên các chuyên gia bảo mật trấn an người dùng rằng họ chưa tìm thấy bằng chứng nào cho thấy hacker đã sử dụng lỗ hổng bảo mật này cho các hoạt động phá hoại.

Các chuyên gia bảo mật cho rằng nguyên nhân khiến lỗ hổng bảo mật FREAK tồn tại lâu năm mà không bị phát hiện vì những chính sách của Mỹ đã ngăn cản các hãng công nghệ Mỹ phát hành các tiêu chuẩn mã hóa mạnh nhất sẵn có. Mặc dù chính sách này đã bị gỡ bỏ vào cuối những năm 1990, tuy nhiên trước đó các tiểu chuẩn mã hóa yếu đã được tích hợp vào các phần mềm, như trình duyệt web, và vẫn tiếp tục sử dụng cho đến ngày hôm nay.

Lỗ hổng này cũng cho thấy những rủi ro khi chính phủ Mỹ tìm cách làm suy yếu khả năng bảo mật được sử dụng để bảo vệ các thiết bị có kết nối, như một cách để thuận tiện hơn cho hành động giám sát của mình. Tuy nhiên, các hãng công nghệ đã phàn nàn rằng điều này làm giảm sút đi sự tin tưởng của khách hàng đối với họ, cả bên trong lẫn ngoài nước Mỹ.