USB dính lỗ hổng bảo mật cực nguy hiểm

Nguy cơ con người phải đối mặt với một thế giới "không có kết nối USB" đang ngày càng hiện hữu khi đoạn code mã độc BadUSB đã được công bố trong tuần qua.

Thực tế, vào tháng Bảy vừa qua, hai nhà nghiên cứu Karsten Nohl và Jakob Lell đã cảnh báo, một lỗ hổng bảo mật cực kì nghiêm trọng có tên gọi BadUSB đã được phát hiện. Lỗi bảo mật này có khả năng cho phép kẻ tấn công mang lén các phần mềm độc hại lên thiết bị thông qua kết nối USB mà không bị phát hiện. Thậm chí nghiêm trọng hơn, bởi mã độc được chứa trong firmware của USB nên gần như vẫn chưa có một giải pháp nào cụ thể để chống lại nó. Tin tức tốt nhất có được lúc đó là, Nohl và Lell đã không công bố đoạn code của mã độc này, nhờ đó mà ngành công nghiệp toàn cầu có thêm thời gian để chuẩn bị cho một thế giới "không có kết nối USB".

Trong tuần qua, hai nhà nghiên cứu khác, Adam Caudill và Brandon Wilson, cũng thông báo rằng, họ đã thành công trong việc tìm ra cơ chế hoạt động của BadUSB. Tuy nhiên, khác với Nohl và Lell, Caudill và Wilson lại cho công bố đoạn code mã độc này lên GitHub và còn biểu diễn nhiều cách sử dụng nó, trong đó có cả một cuộc tấn công đoạt quyền sử dụng và điều khiển bàn phím máy tính. Giải thích cho hành vi của mình, Caudill cho biết, mục đích của việc công bố mã độc này là để gây sức ép cho các nhà sản xuất thiết bị mau chóng tìm ra các giải pháp khắc phục.

Dẫu giải thích là vậy, nhưng hành động này của họ quả thực vô cùng nguy hiểm. Ảnh hưởng của nó đến thế giới thực không chỉ đơn giản như họ nghĩ. Giải pháp đến từ các nhà sản xuất hiện vẫn chưa thấy đâu, song cơ hội cho các kẻ xấu có trong tay mã độc USB để lập trình lại tinh vi hơn là điều chắc chắn sẽ xảy ra trước mắt. Cách duy nhất để khắc phục lỗ hổng này là phải tạo ra một lớp an ninh mới xung quanh firmware. Điều này có nghĩa là, các nhà sản xuất sẽ cần cập nhật lại một chuẩn USB hoàn toàn mới. Thời gian để sửa lỗi này sẽ mất rất nhiều năm. Và trong thời gian đó, người dùng vẫn phải đối mặt với nguy cơ mất an toàn đến từ các kết nối USB.

Xem thêm video về sự kiện Caudill và Wilson công bố mã độc USB tại DerbyCon:

Theo trang công nghệ The Verge, trừ khi bạn có thể sử dụng các thiết bị USB nguyên gốc đến từ các nhà sản xuất cung cấp, còn không nguy cơ phải đối mặt với vấn đề về bảo mật USB này là điều khó tránh khỏi. Tin tức này quả là điều kinh hoàng đối với toàn bộ người dùng công nghệ trên thế giới.

Hoàng Anh

Theo TheVerge