Lỗ hổng từ thập niên 90 đe dọa người dùng di động 'cục gạch'
Hai thuật toán mã hóa cũ vẫn được sử dụng trong mạng di động hiện nay có thể bị tin tặc khai thác nhằm mục đích theo dõi người dùng trái phép.
Nghiên cứu đăng trên tạp chí của Hiệp hội Nghiên cứu Mã hóa Quốc tế (IACR) ngày 15/6 đã chỉ ra một lỗ hổng ở thuật toán mã hóa. Thuật toán đã được sử dụng trong mạng di động từ những năm 1990 và vẫn ảnh hưởng tới rất nhiều người dùng điện thoại cơ bản.
Điểm đáng lo ngại, theo Vice, là các nhà nghiên cứu cho rằng lỗ hổng đã bị cố tình đưa vào, bởi xác suất để lỗi rò rỉ dữ liệu như vậy xảy ra ngẫu nhiên là rất thấp. Sau khi nghiên cứu được đăng tải, công ty thiết kế thuật toán mã hóa xác nhận ý kiến của nhóm nghiên cứu.
Những điện thoại cơ bản, vẫn còn được dùng rộng rãi ở nhiều nơi, sẽ bị ảnh hưởng bởi lỗ hổng bảo mật này. Ảnh: Getty.
Hai thuật toán mã hóa được chỉ ra trong bài báo là GEA-1 và GEA-2, từng được sử dụng trong ngành công nghiệp viễn thông cùng với tiêu chuẩn GPRS. Điều đáng nói là cả hai thuật toán này đều chỉ cung cấp chuẩn bảo mật 40 bit, quá lỗi thời so với tiêu chuẩn 256 bit như hiện nay.
GPRS là giao thức kết nối Internet cũ, từng được sử dụng phổ biến trước khi mạng 3G ra đời. GPRS có thể cung cấp và truyền tải dữ liệu ở tốc độ 56-114 Kbps.
"Trong cả triệu lần thử trước đây, chúng tôi thậm chí chưa bao giờ thấy trường hợp nào có tính bảo mật yếu như vậy. Điều này nghĩa là lỗ hổng trong GEA-1 khó có thể xảy ra một cách tình cờ và mức độ bảo mật 40 bit hoàn toàn do các quy định về xuất dữ liệu thời đó”, nhóm nghiên cứu viết trong bài báo.
Người phát ngôn của tổ chức tạo ra GEA-1, Viện Tiêu chuẩn Viễn thông Châu Âu (ETSI), thừa nhận rằng thuật toán này có tồn tại một lỗ hổng. Tuy nhiên, họ khẳng định rằng nó được tạo ra trong phạm vi của các quy định về xuất dữ liệu và tại thời điểm đó không được phép bảo mật cao hơn.
"Chúng tôi phải tuân thủ các quy định kiểm soát việc xuất dữ liệu cũng như bắt buộc phải hạn chế tính bảo mật của GEA-1", người phát ngôn của ETSI cho hay.
“Để đáp ứng các yêu cầu chính trị, hàng triệu người dùng dường như đã phải chấp nhận tính bảo mật kém khi lướt web trong nhiều năm”, Havard Raddum, một trong những nhà nghiên cứu chính của bài báo nhận xét.
Những mẫu điện thoại cơ bản nhưng đã sử dụng công nghệ 3G, 4G sẽ không bị ảnh hưởng. Ảnh: Duy Tuấn.
Raddum và các đồng nghiệp nhận thấy rằng phiên bản kế nhiệm của GEA-1, GEA-2 không chứa điểm yếu tương tự. Trên thực tế, người phát ngôn của ETSI nói rằng khi họ giới thiệu GEA-2, các biện pháp kiểm soát việc xuất dữ liệu đã được nới lỏng và tính bảo mật đã được cải thiện.
Tuy nhiên, xét cho cùng GEA-2 không hề được áp dụng tiêu chuẩn bảo mật như hiện nay và các nhà nghiên cứu khẳng định vẫn có thể dễ dàng giải mã dữ liệu từ thuật toán này.
GEA-1 và GEA-2 không được sử dụng rộng rãi nữa sau khi các nhà cung cấp mạng viễn thông áp dụng tiêu chuẩn bảo mật mới cho mạng 3G và 4G. Tuy nhiên, chúng vẫn còn trên các máy điện thoại cơ bản, sử dụng kết nối mạng GPRS ở nhiều quốc gia và vùng hẻo lánh.
Các chuyên gia khuyến cáo rằng cần phải nhanh chóng chấm dứt việc sử dụng thuật toán mã hóa GEA-1 và GEA-2 trước khi vấn đề an ninh mạng ảnh hưởng nghiêm trọng tới hàng triệu người dùng.
Các doanh nghiệp toàn cầu mỗi năm chịu thiệt hại lên tới hàng trăm tỷ USD do việc rò rỉ dữ liệu trên không gian mạng. Tại Việt Nam, 94% doanh nghiệp được khảo sát vẫn chịu ảnh hưởng nặng nề từ vấn về này và chưa có hướng khắc phục tối ưu.
