(Nguồn: Reuters) |
Với chỉ một đoạn kịch bản đơn giản và một số điện thoại ảo với giá 40 USD, một hacker có thể tự động thâm nhập vào số lượng lớn các tài khoản hộp thư thoại, rồi từ dó truy cập vào nhiều tài khoản online như WhatsApp hay Paypal, và thậm chí cả theo dõi từng cử động của người dùng. Martin Vigo, một hacker người Tây Ban Nha, đã trình bày tại hội thảo thường niên dành cho hacker Def Con diễn ra tại Las Vegas (Mỹ), giới thiệu cách thức thực hiện thủ thuật nói trên, và cả những thiệt hại mà mất an toàn an ninh mạng có thể xảy ra nếu hacker truy cập vào các đoạn tin nhắn thoại.
Các hộp thư thoại hiện đang có bảo mật kém, Vigo tuyên bố, với nhiều lỗ hổng đã được phát hiện từ hơn 30 năm nay mà không được cải thiện. Cả 4 nhà mạng của Mỹ, ví dụ, đều sử dụng mã pin mặc định vô cùng dễ đoán như 4 số cuối của số điện thoại mà tài khoản kết nối, hoặc 4 số giống nhau cho số lượng lớn tài khoản.
Kể cả khi người sử dụng thay đổi mật khẩu, cũng không có nhiều hơn các lớp bảo vệ. Hầu hết các nhà mạng giới hạn các mã có ít nhất chỉ 4 ký tự. Họ không hề triển khai biện pháp phòng chống tấn công bằng đoán thử đúng sai liên tục (brute force), cho phép hacker thử mọi mã liên tục. Thậm chí, cách thức tấn công trên còn được hỗ trợ bằng cách cho phép người gọi nhập ba mã pin một lúc, cách nhau bởi một dấu #.
Hiện nay, với sự kết nối với nhiều tài khoản trực tuyến khác nhau, các lỗ hổng nói trên đang trở nên nguy hiểm hơn bao giờ. Ví dụ, người dùng đăng nhập vào WhatsApp bằng cách yêu cầu gửi một tin nhắn và nhập mã vào ứng dụng. Nhưng sau một vài phút, họ có thể yêu cầu công ty gọi lại và đọc mã đó qua điện thoại. Bằng việc yêu cầu gửi mã trong khi điện thoại của đối tượng đang không thể tiếp cận – khi đang trên máy bay chẳng hạn – đoạn thông điệp sẽ được chuyển vào hộp thư thoại. Và thế là hacker có thể nghe, nhập mã, và truy cập vào tài khoản WhatsApp một cách dễ dàng.
Một vài nhà cung cấp dịch vụ đã thử nghiệm cách thức đối phó với thủ đoạn trên. PayPal cho phép người dùng đặt lại mật khẩu qua cuộc gọi, nhưng yêu cầu một mã 4 ký tự được nhập vào bàn phím trong thời gian cuộc gọi diễn ra, nhằm ngăn chặn kẻ tấn công chỉ cần tiếp cận hộp thư thoại và xử lý việc tấn công. Tuy nhiên, Vigo đã thực hiện một thủ thuật: đặt đoạn thoại chào hỏi trong hộp thư thoại thành các âm thanh từ bàn phím nhằm đánh lừa hệ thống của PayPal như một người thật đang nhận cuộc gọi.
Vigo đã liệt kê các dịch vụ có thể bị ảnh hưởng như đặt lại mật khẩu cho PayPal, Instagram, Netflix, eBay và Linkedin, Hay xác thực tài khoản cho WhatsApp, Signal, Twilio và Google Voice. Khuyến nghị của chuyên gia này là người dùng thay đổi mã pin mặc định cho hộp thư thoại sang một đoạn mã dài hơn hay tắt hẳn tính năng này nếu họ không có ý định dùng. Các nhà cung cấp dịch vụ cũng nên dừng các cuộc gọi tự động cho mục tiêu bảo mật.