MrQuậy
Well-Known Member
-
24/09/2013
-
178
-
2.221 bài viết
Đánh giá bảo mật của các sản phẩm điện tử khuyến mại
Trong những năm gần đây, tâm điểm của những dịp giảm giá như Black Friday hay Cyber Monday thường là những sản phẩm điện tử. Tuy nhiên, ít người để ý đến độ bảo mật của các sản phẩm hấp dẫn đó.
Cuối năm 2014, công ty bảo mật Bluebox đã quyết định mua một số các loại máy tính bảng Android có giá dưới 100 USD trong thời kỳ khuyến mại, để xem thử độ bảo mật của chúng đến đâu. Mặc dù ai cũng biết là không hy vọng hàng giá rẻ có chất lượng cao, nhưng kết quả thu được vẫn khá bất ngờ: phần lớn các thiết bị giảm giá đến tay người dùng với những lỗ hổng bảo mật và bị cấu hình sai, một số thiết bị còn có sẵn cửa hậu. Bảng dưới đây là kết quả tổng hợp.
Trên lý thuyết thì giá thấp đồng nghĩa với cấu hình phần cứng thấp và ít tính năng. Nhưng lẽ ra thì việc cùng sử dụng hệ điều hành Android, các thiết bị phải đem đến cho người dùng một mặt bằng chung (hay ít ra là không chênh lệch nhiều) về phần mềm và bảo mật. Tuy nhiên, thực tế đã cho thấy các nhà sản xuất thiết bị đã đưa ra những quyết định kỳ quặc, khiến cho độ bảo mật và tin cậy của những thiết bị rẻ tiền giảm sút khá nghiêm trọng.
Chiếc máy tính bảng DigiLand 7” được Best Buy bán với giá 49,99 USD. Mặc dù chiếc máy này báo là chạy hệ điều hành Android phiên bản 4.4.0 nhưng khi nhóm thử nghiệm xem xét thì họ phát hiện ra một số cấu phần của hệ điều hành cho chúng là bản 4.4.2. Firmware của thiết bị được ký bằng chứng thực dùng cho thử nghiệm của dự án AOSP (Android Open Source Project) – điều này có nghĩa là tin tặc có thể dễ dàng tạo ra các bản cập nhật giả! Kết nối USB debugging cũng chạy với quyền root, tức là thiết bị này đã được “root” sẵn từ trong hộp. Chưa hết, nó còn chứa cả lỗ hổng bảo mật Futex.
Chiếc máy tính bảng RCA Mercury 7” chạy hệ điều hành Android 4.4.2 (được Target bán với giá 39,99 đôla) có vẻ ổn hơn, chỉ chứa hai lỗ hổng bảo mật. Chiếc Mach Speed Xtreme 7” do Kmart bán với cùng mức giá đó cũng có hai lỗ hổng bảo mật nhưng được khuyến mãi thêm một món quà: nó được vô hiệu hóa sẵn thiết lập ngăn chặn việc cài ứng dụng từ các nguồn bên ngoài (điều này có nghĩa là người dùng sẽ dễ bị dính mã độc hơn).
Walgreens thì bán máy tính bảng hiệu Polaroid A7 7”. BlueBox không biết chính xác loại máy tính bảng được Walgreens bán nhưng họ tìm thấy một mẫu tương tự - chiếc Polaroid PMID720 7” trên Amazon. Loại này chạy Android 4.1.1, có bốn lỗ hổng bảo mật, được “root” sẵn và tắt tính năng cấm cài phần mềm từ các nguồn thứ ba.
Một chiếc máy tính bảng khác là Zeki 7”, được Kohl chào bán. BlueBox mua được đúng model đó từ Amazon. Đây thực sự là loại “khủng” nhất trong danh sách thử nghiệm với 4 lỗ hổng bảo mật, có tính năng USB debugging được bật mặc định, có cổng hậu cài sẵn, được ký bằng chứng thực thử nghiệm của AOSP, và không có Google Play (điều này có nghĩa là người dùng sẽ phải dùng chợ phần mềm của bên thứ 3 và sẽ không được hưởng lợi từ quy trình kiểm tra bảo mật ứng dụng của Google).
Mach Speed JLab Pro-7 7” được Staples bán trực tuyến, loại máy tính bảng chạy Android 4.4.2 này có chế độ lập trình và USB debugging được bật sẵn. Kỳ lạ hơn nữa, nó được tùy biến để loại bỏ những tính năng bảo mật thường thấy ở những loại máy khác: chẳng hạn như dịch vụ ADB không đòi hỏi xác thực khi kết nối (mặc dù tính năng xác thực này đã có từ phiên bản Android 4.2.2).
Danh sách những loại máy tính bảng rẻ tiền có chứa lỗ hổng bảo mật khá dài nên sẽ làm các bạn cảm thấy chán nản. Vậy chúng ta hãy xem một ví dụ tươi sáng hơn, đó là chiếc máy tính bảng Samsung Galaxy Tab3 Lite (giá là 99,99 USD - cao hơn hẳn những thứ còn lại). Liệu có phải vì thế mà nó ổn định hơn hẳn? Mặc dù chạy phiên bản Android không mới nhưng nó không có một lỗ hổng bảo mật hay một cấu hình bảo mật sai nào. HTC Nexus 9 được bán cùng giá cao hơn nhiều, chạy hệ điều hành mới nhất và được BlueBox cho điểm 10.
BlueBox kết luận rằng các thiết bị rẻ tiền thường kém về bảo mật và người dùng nên chọn các thương hiệu có tên tuổi để có thể yên tâm hơn. Nếu mua các thiết bị rẻ tiền thì chỉ nên dùng để chơi game hay lướt web, tuyệt đối không nên thực hiện giao dịch internet banking, mua bán hay lưu các thông tin quan trọng trên đó. Để trợ giúp người dùng, công ty này còn cung cấp phần mềm miễn phí Trustable by Bluebox (https://play.google.com/store/apps/details?id=com.bluebox.trust) để phát hiện và đánh giá các khía cạnh bảo mật của một thiết bị Android. Bluebox cũng đưa ra một tài liệu hướng dẫn miễn phí (https://bluebox.com/android-user-security-guide) để người dùng có thể nâng cao độ bảo mật cho thiết bị của mình, đồng thời khuyến cáo rằng các biện pháp đó chỉ có tác dụng phần nào chứ không thể giải quyết được những lỗ hổng bảo mật ngầm định trong các thiết bị rẻ tiền.
Liệu có phải những chiếc máy tính bảng rẻ tiền yếu kém về bảo mật là do các nhà sản xuất tiết kiệm chi phí hay không có kiến thức? Hai ví dụ dưới đây cho chúng ta thấy một khả năng khác.
Ví dụ thứ nhất là việc vào tháng 6/2014, các nhà nghiên cứu tại công ty bảo mật G Data của Đức phát hiện Star N9500 – một loại smartphone nhái Galaxy S4 được bán rộng khắp châu Âu qua kênh Amazon – có chứa sẵn mã độc Android.Trojan.Uupay.D. Loại mã độc này giả dạng Google Play Store, thu thập thông tin cá nhân của người dùng, nghe lén các cuộc gọi, ăn cắp thông tin truy cập ngân hàng trực tuyến, đọc thư điện tử và tin nhắn, cho phép kiểm soát camera và microphone từ xa, gửi dữ liệu tới một máy chủ ở Trung Quốc. Hơn thế, nó là một phần của firmware nên không thể gỡ bỏ, chặn các cập nhật bảo mật và xóa các nhật ký có thể giúp người dùng phát hiện sự có mặt của nó.
Đầu tháng 12/2014, công ty bảo mật LookOut lại phát hiện một trường hợp nữa, với quy mô lớn hơn. Đó là việc DeathRing, một loại “ngựa thành Troa” từ Trung Quốc giả dạng phần mềm ringtone được cài sẵn trong hệ thống của một loạt các loại điện thoại thông minh khác nhau: các sản phẩm nhái Samsung GS4/Note II, nhiều loại điện thoại TECNO khác nhau, Gionee Gpad G1, Gionee GN708W,... Loại mã độc này cũng không thể gỡ bỏ và đã ảnh hưởng tới nhiều nước trên thế giới: Việt Nam, Indonesia, Ấn Độ, Nigeria, Đài Loan, Trung Quốc.
Những loại mã độc được nhúng sẵn vào điện thoại thông minh này chắc không phải vô tình xuất hiện. Một số người cho rằng, sự hiện diện của mã độc trong các loại điện thoại rẻ tiền chính là lý do khiến chúng có giá rẻ, những kẻ muốn đánh cắp thông tin của người dùng đã tài trợ cho các hãng điện thoại Trung Quốc. Không lẽ người dùng buộc phải tẩy chay các sản phẩm giá rẻ để mua lấy sự an toàn? Và ai dám chắc các loại thiết bị đắt tiền sẽ an toàn hơn?
Khuyến cáo của BlueBox không phải là vô lý, các hãng có tên tuổi buộc phải cố gắng nhiều hơn trong việc kiểm soát chất lượng, độ bảo mật trong sản phẩm của họ để bảo vệ danh tiếng, bảo vệ doanh thu. Mặt khác, không thể chỉ trông chờ vào trách nhiệm của các nhà cung cấp hay đợi đến khi lỗi của các sản phẩm phát sinh tác hại trên quy mô lớn mới xử lý. Các tạp chí, các tổ chức đánh giá sản phẩm công nghệ nên đánh giá thêm về khía cạnh bảo mật của sản phẩm để người dùng có căn cứ lựa chọn. Hơn thế nữa, ngoài việc kêu gọi hay hướng dẫn người sử dụng, chúng ta cần thấy các cơ quan quản lý nhà nước thể hiện vai trò của mình. Chúng ta có thể có biện pháp kiểm soát vệ sinh an toàn thực phẩm, kiếm soát văn hóa phẩm đồi trụy, kiểm soát mức độ khí thải của động cơ, thì tại sao không thể kiểm soát mức độ bảo mật của các sản phẩm điện tử nhập khẩu (và cả sản xuất trong nước)?
Xét cho cùng, sự phổ biến của các sản phẩm kém bảo mật (hay thậm chí có chứa mã độc) có thể gây hại không kém cho xã hội. Dòng sản phẩm nào không vượt qua các đợt kiểm tra định kỳ, đột xuất dựa trên các tiêu chuẩn đã được ban hành về bảo mật cần phải bị cấm nhập khẩu/cấm lưu hành.
Cuối năm 2014, công ty bảo mật Bluebox đã quyết định mua một số các loại máy tính bảng Android có giá dưới 100 USD trong thời kỳ khuyến mại, để xem thử độ bảo mật của chúng đến đâu. Mặc dù ai cũng biết là không hy vọng hàng giá rẻ có chất lượng cao, nhưng kết quả thu được vẫn khá bất ngờ: phần lớn các thiết bị giảm giá đến tay người dùng với những lỗ hổng bảo mật và bị cấu hình sai, một số thiết bị còn có sẵn cửa hậu. Bảng dưới đây là kết quả tổng hợp.
Trên lý thuyết thì giá thấp đồng nghĩa với cấu hình phần cứng thấp và ít tính năng. Nhưng lẽ ra thì việc cùng sử dụng hệ điều hành Android, các thiết bị phải đem đến cho người dùng một mặt bằng chung (hay ít ra là không chênh lệch nhiều) về phần mềm và bảo mật. Tuy nhiên, thực tế đã cho thấy các nhà sản xuất thiết bị đã đưa ra những quyết định kỳ quặc, khiến cho độ bảo mật và tin cậy của những thiết bị rẻ tiền giảm sút khá nghiêm trọng.
Chiếc máy tính bảng DigiLand 7” được Best Buy bán với giá 49,99 USD. Mặc dù chiếc máy này báo là chạy hệ điều hành Android phiên bản 4.4.0 nhưng khi nhóm thử nghiệm xem xét thì họ phát hiện ra một số cấu phần của hệ điều hành cho chúng là bản 4.4.2. Firmware của thiết bị được ký bằng chứng thực dùng cho thử nghiệm của dự án AOSP (Android Open Source Project) – điều này có nghĩa là tin tặc có thể dễ dàng tạo ra các bản cập nhật giả! Kết nối USB debugging cũng chạy với quyền root, tức là thiết bị này đã được “root” sẵn từ trong hộp. Chưa hết, nó còn chứa cả lỗ hổng bảo mật Futex.
Chiếc máy tính bảng RCA Mercury 7” chạy hệ điều hành Android 4.4.2 (được Target bán với giá 39,99 đôla) có vẻ ổn hơn, chỉ chứa hai lỗ hổng bảo mật. Chiếc Mach Speed Xtreme 7” do Kmart bán với cùng mức giá đó cũng có hai lỗ hổng bảo mật nhưng được khuyến mãi thêm một món quà: nó được vô hiệu hóa sẵn thiết lập ngăn chặn việc cài ứng dụng từ các nguồn bên ngoài (điều này có nghĩa là người dùng sẽ dễ bị dính mã độc hơn).
Walgreens thì bán máy tính bảng hiệu Polaroid A7 7”. BlueBox không biết chính xác loại máy tính bảng được Walgreens bán nhưng họ tìm thấy một mẫu tương tự - chiếc Polaroid PMID720 7” trên Amazon. Loại này chạy Android 4.1.1, có bốn lỗ hổng bảo mật, được “root” sẵn và tắt tính năng cấm cài phần mềm từ các nguồn thứ ba.
Một chiếc máy tính bảng khác là Zeki 7”, được Kohl chào bán. BlueBox mua được đúng model đó từ Amazon. Đây thực sự là loại “khủng” nhất trong danh sách thử nghiệm với 4 lỗ hổng bảo mật, có tính năng USB debugging được bật mặc định, có cổng hậu cài sẵn, được ký bằng chứng thực thử nghiệm của AOSP, và không có Google Play (điều này có nghĩa là người dùng sẽ phải dùng chợ phần mềm của bên thứ 3 và sẽ không được hưởng lợi từ quy trình kiểm tra bảo mật ứng dụng của Google).
Mach Speed JLab Pro-7 7” được Staples bán trực tuyến, loại máy tính bảng chạy Android 4.4.2 này có chế độ lập trình và USB debugging được bật sẵn. Kỳ lạ hơn nữa, nó được tùy biến để loại bỏ những tính năng bảo mật thường thấy ở những loại máy khác: chẳng hạn như dịch vụ ADB không đòi hỏi xác thực khi kết nối (mặc dù tính năng xác thực này đã có từ phiên bản Android 4.2.2).
Danh sách những loại máy tính bảng rẻ tiền có chứa lỗ hổng bảo mật khá dài nên sẽ làm các bạn cảm thấy chán nản. Vậy chúng ta hãy xem một ví dụ tươi sáng hơn, đó là chiếc máy tính bảng Samsung Galaxy Tab3 Lite (giá là 99,99 USD - cao hơn hẳn những thứ còn lại). Liệu có phải vì thế mà nó ổn định hơn hẳn? Mặc dù chạy phiên bản Android không mới nhưng nó không có một lỗ hổng bảo mật hay một cấu hình bảo mật sai nào. HTC Nexus 9 được bán cùng giá cao hơn nhiều, chạy hệ điều hành mới nhất và được BlueBox cho điểm 10.
BlueBox kết luận rằng các thiết bị rẻ tiền thường kém về bảo mật và người dùng nên chọn các thương hiệu có tên tuổi để có thể yên tâm hơn. Nếu mua các thiết bị rẻ tiền thì chỉ nên dùng để chơi game hay lướt web, tuyệt đối không nên thực hiện giao dịch internet banking, mua bán hay lưu các thông tin quan trọng trên đó. Để trợ giúp người dùng, công ty này còn cung cấp phần mềm miễn phí Trustable by Bluebox (https://play.google.com/store/apps/details?id=com.bluebox.trust) để phát hiện và đánh giá các khía cạnh bảo mật của một thiết bị Android. Bluebox cũng đưa ra một tài liệu hướng dẫn miễn phí (https://bluebox.com/android-user-security-guide) để người dùng có thể nâng cao độ bảo mật cho thiết bị của mình, đồng thời khuyến cáo rằng các biện pháp đó chỉ có tác dụng phần nào chứ không thể giải quyết được những lỗ hổng bảo mật ngầm định trong các thiết bị rẻ tiền.
Liệu có phải những chiếc máy tính bảng rẻ tiền yếu kém về bảo mật là do các nhà sản xuất tiết kiệm chi phí hay không có kiến thức? Hai ví dụ dưới đây cho chúng ta thấy một khả năng khác.
Ví dụ thứ nhất là việc vào tháng 6/2014, các nhà nghiên cứu tại công ty bảo mật G Data của Đức phát hiện Star N9500 – một loại smartphone nhái Galaxy S4 được bán rộng khắp châu Âu qua kênh Amazon – có chứa sẵn mã độc Android.Trojan.Uupay.D. Loại mã độc này giả dạng Google Play Store, thu thập thông tin cá nhân của người dùng, nghe lén các cuộc gọi, ăn cắp thông tin truy cập ngân hàng trực tuyến, đọc thư điện tử và tin nhắn, cho phép kiểm soát camera và microphone từ xa, gửi dữ liệu tới một máy chủ ở Trung Quốc. Hơn thế, nó là một phần của firmware nên không thể gỡ bỏ, chặn các cập nhật bảo mật và xóa các nhật ký có thể giúp người dùng phát hiện sự có mặt của nó.
Đầu tháng 12/2014, công ty bảo mật LookOut lại phát hiện một trường hợp nữa, với quy mô lớn hơn. Đó là việc DeathRing, một loại “ngựa thành Troa” từ Trung Quốc giả dạng phần mềm ringtone được cài sẵn trong hệ thống của một loạt các loại điện thoại thông minh khác nhau: các sản phẩm nhái Samsung GS4/Note II, nhiều loại điện thoại TECNO khác nhau, Gionee Gpad G1, Gionee GN708W,... Loại mã độc này cũng không thể gỡ bỏ và đã ảnh hưởng tới nhiều nước trên thế giới: Việt Nam, Indonesia, Ấn Độ, Nigeria, Đài Loan, Trung Quốc.
Những loại mã độc được nhúng sẵn vào điện thoại thông minh này chắc không phải vô tình xuất hiện. Một số người cho rằng, sự hiện diện của mã độc trong các loại điện thoại rẻ tiền chính là lý do khiến chúng có giá rẻ, những kẻ muốn đánh cắp thông tin của người dùng đã tài trợ cho các hãng điện thoại Trung Quốc. Không lẽ người dùng buộc phải tẩy chay các sản phẩm giá rẻ để mua lấy sự an toàn? Và ai dám chắc các loại thiết bị đắt tiền sẽ an toàn hơn?
Khuyến cáo của BlueBox không phải là vô lý, các hãng có tên tuổi buộc phải cố gắng nhiều hơn trong việc kiểm soát chất lượng, độ bảo mật trong sản phẩm của họ để bảo vệ danh tiếng, bảo vệ doanh thu. Mặt khác, không thể chỉ trông chờ vào trách nhiệm của các nhà cung cấp hay đợi đến khi lỗi của các sản phẩm phát sinh tác hại trên quy mô lớn mới xử lý. Các tạp chí, các tổ chức đánh giá sản phẩm công nghệ nên đánh giá thêm về khía cạnh bảo mật của sản phẩm để người dùng có căn cứ lựa chọn. Hơn thế nữa, ngoài việc kêu gọi hay hướng dẫn người sử dụng, chúng ta cần thấy các cơ quan quản lý nhà nước thể hiện vai trò của mình. Chúng ta có thể có biện pháp kiểm soát vệ sinh an toàn thực phẩm, kiếm soát văn hóa phẩm đồi trụy, kiểm soát mức độ khí thải của động cơ, thì tại sao không thể kiểm soát mức độ bảo mật của các sản phẩm điện tử nhập khẩu (và cả sản xuất trong nước)?
Xét cho cùng, sự phổ biến của các sản phẩm kém bảo mật (hay thậm chí có chứa mã độc) có thể gây hại không kém cho xã hội. Dòng sản phẩm nào không vượt qua các đợt kiểm tra định kỳ, đột xuất dựa trên các tiêu chuẩn đã được ban hành về bảo mật cần phải bị cấm nhập khẩu/cấm lưu hành.
Theo ATTT