Mạng Internet băng rộng của Anh dính lỗi chết người

[nod32]

Nhóm hacker GNUCitizen cảnh báo lỗ hổng bảo mật chết người trong hệ thống mạng Internet băng rộng của Anh hoàn toàn có thể bị tin tặc lợi dụng để thực hiện hành vi lừa đảo ăn cắp thông tin cá nhân của người dùng.

Lỗi phát sinh trong Home Hub của nhà cung cấp dịch vụ Internet băng rộng BT. Thiết bị này mắc một lỗi bảo mật chứng thực cực kỳ nguy hiểm có thể bị lợi dụng để kích hoạt các website độc hại thực hiện các cuộc gọi điện thoại VoIP.

BT Home Hub sử dụng phần mềm cơ sở firware 6.2.6.B tích hợp dịch vụ BT Broadband Talk VoIP được xác nhận mắc lỗi trên.

Chuyên gia Adrian Pastor của GNUCitizen cho biết ông có thể lợi dụng lỗ hổng nói trên để điều khiển Home Hub thực hiện cuộc gọi VoIP đến bất kỳ một số điện thoại nào trên thế giới. Mô hình tấn công khai thác lỗi như sau:



Tin tặc sẽ gửi đến cho người dùng một email giả mạo được gửi đến từ ngân hàng nơi họ mở tài khoản với nội dung yêu cầu họ nhắp chuột vào đường liên kết đi kèm. Thực tế đường liên kế đó sẽ dẫn tới một website cấy sẵn mã JavaScript độc hại.

Nhắp chuột vào liên kết đồng nghĩa với việc người dùng kích hoạt mã JavaScript và khởi động cuộc tấn công của tin tặc. Khi đó điện thoại của người dùng sẽ đổ chuông và Home Hub đồng thời khởi động một cuộc gọi đến một số điện thoại khác. Người dùng sẽ nghĩ là họ nhận được một cuộc gọi nhưng thực tế là họ đang thực hiện một cuộc gọi đi thông qua Home Hub. Nếu tin tặc là người nghe ở đầu bên kia, chúng hoàn toàn có thể giả mạo là người của ngân hàng và tìm cách lừa người dùng cung cấp thông tin tài khoản cá nhân.

Chuyên gia Pastor cũng đã cho công bố mã khai thác lỗi.

Người phát ngôn của BT cho biết tính đến nay chưa hề có một khách hàng nào của hãng thông báo bị tấn công bằng phương thức khai thác lỗi nói trên đồng thời cho biết hãng đang phát triển bản sửa lỗi. Dự kiến bản sửa lỗi sẽ được tự động cập nhật cho Home Hub.