Sạc smartphone bằng kết nối USB với máy tính không an toàn

Bằng cách kiểm tra thông tin danh tính nhận từ thiết bị được kết nối, hacker đã có thể biết được model của thiết bị nạn nhân sử dụng và bắt đầu tấn công bằng việc khai thác có chọn lọc.

Chuyên gia Kaspersky Lab đã phát hiện rằng smartphone có thể bị tổn hại khi sạc bằng kết nối USB chuẩn được gắn vào máy tính.

Việc nghiên cứu được tiến hành nhằm trả lời cho các câu hỏi, đã bao giờ bạn tự hỏi mức độ an toàn của smartphone và dữ liệu của mình khi bạn kết nối các thiết bị với điểm sạc có sẵn tại sân bay, quán cà phê, công viên và giao thông công cộng? Bạn có biết dữ liệu nào và bao nhiêu dữ liệu được trao đổi với những điểm này trong khi sạc không?

Trong khi nghiên cứu, các chuyên gia của hãng bảo mật này đã tiến hành kiểm tra một số smartphone chạy nhiều phiên bản của hệ điều hành Android và iOS nhằm tìm hiểu xem thiết bị trao đổi những dữ liệu gì khi được kết nối sạc bằng PC hoặc máy Mac. Kết quả kiểm tra chỉ ra rằng điện thoại di động để lộ một chuỗi dữ liệu trong khi “handshake” (quá trình kết nối thiết bị với PC/ Mac) bao gồm: tên thiết bị, nhà sản xuất, loại, số series, thông tin firmware, thông tin hệ điều hành, hệ thống tập tin/danh sách tập tin, ID chip. Lượng dữ liệu được gửi đi khi handshake tùy thuộc vào thiết bị và máy tính nhưng mỗi smartphone trao đổi bộ thông tin cơ bản giống nhau như tên thiết bị, nhà sản xuất, số series…

Và chỉ sử dụng một PC thông thường và cáp USB micro chuẩn, trang bị bộ lệnh đặc biệt (được gọi là AT-command), các chuyên gia Kaspersky đã có thể cài đặt thêm được các thành phần quan trọng vào smartphone một cách nhanh chóng cũng như root máy và kiểm soát máy ở mức độ toàn diện. Mặc dù không sử dụng phần mềm độc hại nào nhưng việc này đã góp phần gây hại đến smartphone.

Tất cả những mối đe dọa trên đã tìm ra cách khai thác việc trao đổi dữ liệu ban đầu được cho là an toàn giữa smartphone và PC mà nó được kết nối. Bằng cách kiểm tra thông tin danh tính nhận từ thiết bị được kết nối, hacker đã có thể biết được model của thiết bị nạn nhân sử dụng và bắt đầu tấn công bằng việc khai thác có chọn lọc. Việc này không dễ thành công nếu smartphone không tự động trao đổi dữ liệu với PC khi kết nối qua cổng USB.

Để tự bảo vệ mình trước nguy cơ bị tấn công từ nguồn sạc không xác định và máy tính không đáng tin cậy người dùng chỉ sử dụng điểm sạc USB và máy tính đáng tin để sạc thiết bị. Bảo vệ điện thoại di động bằng mật khẩu hoặc nhận biết dấu vân tay và không mở khóa khi đang sạc. Sử dụng công nghệ mã hóa và nơi chứa thông tin an toàn (khu vực được bảo vệ trên thiết bị di động được dùng để tách riêng thông tin nhạy cảm) để bảo vệ dữ liệu. Bảo vệ cả thiết bị di động và PC/ Mac trước phần mềm độc hại với sự hỗ trợ từ giải pháp bảo mật đã được kiểm chứng.

Lê Mỹ – www.ictnews.vn