221
2083
Thế giới số
thegioiso
/cntt/thegioiso/
536586
Phát hiện lỗ hổng trong Java phiên bản ĐTDĐ
1
Article
2081
CNTT - Viễn thông
cntt
/cntt/
Phát hiện lỗ hổng trong Java phiên bản ĐTDĐ
,

Một nhà nghiên cứu Ba Lan vừa tìm thấy hai lỗ hổng bảo mật trong phiên bản phần mềm Java dành cho điện thoại di động (ĐTDĐ) của Sun Microsystems. Trong những điều kiện thích hợp, hai lỗ hổng này có thể cho phép một chương trình độc hại đọc các thông tin cá nhân hoặc khiến cho điện thoại không sử dụng được nữa.

Soạn: AM 178217 gửi đến 996 để nhận ảnh này qua MMS

Theo Adam Gowdiak, nhà nghiên cứu bảo mật 29 tuổi tại Poznan Supercomputing & Networking Center, người đã phát hiện ra lỗ hổng, những sơ hở này thuộc loại khó khai thác, bởi lẽ các chương trình hiểm độc trước hết phải được chỉnh sửa theo mô hình cụ thể của ĐTDĐ để có thể xâm nhập. Tuy Adam hình dung được cách thức tấn công một chiếc Nokia 6310i qua hai lỗ hổng này, song quá trình đó phải kéo dài ít nhất bốn tháng, đủ để nhà sản xuất tìm cách đối phó và vá lỗ hổng lại.

Đối với giới hacker, điều kiện cần để lỗ hổng này có thể khai thác được là bản thân người sử dụng phải download và chạy một cách vô thức một chương trình Java độc hại trên máy, gọi là midlet. Còn hiện tại, chưa có cách thức nào tự động hoá một cuộc tấn công đối với những lỗ hổng dạng này. 

Adam đã thông báo cho Sun về hai lỗ hổng từ hồi tháng Tám, và Sun cũng hứa hẹn sẽ gửi cho những hãng mua giấy phép sử dụng Java miếng vá, có tên Bản chỉnh sửa bytecode Java, trong vòng hai tuần. 

"Chúng tôi chưa gặp bất cứ trường hợp nào cố khai thác những lỗ hổng này. Nhưng nếu có, người sử dụng có thể dễ dàng xoá đi... những ứng dụng mà họ download từ các nguồn không đáng tin cậy." - Eric Chu, giám đốc marketing Java 2 Micro Edition, tức J2ME, cho biết. 

Đáng lo vì thiếu cảnh giác

Soạn: AM 178211 gửi đến 996 để nhận ảnh này qua MMS

Tuy nhiên, trong bài phát biểu nhân dịp hội thảo Hack in The Box hồi tháng Mười tại Malaysia, Adam cho rằng lẽ ra các hãng nên để tâm đến tình huống này một cách nghiêm túc hơn: "Các doanh nghiệp và ngành công nghiệp chống virus đã không chuẩn bị tinh thần đối phó dạng nguy cơ này. Chính vì vậy, trong vòng sáu tháng tới, chắc chắn rất nhiều lỗ hổng mới trong ĐTDĐ sẽ được công bố".

Java, ngôn ngữ lập trình cho phép những chương trình như video game chạy được trên nhiều máy điện thoại khác nhau, đã trở nên phổ biến trong thời gian qua. Theo ước tính của Sun, tính đến cuối năm nay, hơn 570 triệu máy điện thoại dùng Java sẽ được bán ra. Cứ ba máy điện thoại thì có một máy được trang bị Java. Hàng trăm nhà cung cấp dịch vụ ĐTDĐ dựa dẫm vào J2ME để bán nhạc chuông, game cùng các nội dung download khác.

Soạn: AM 178209 gửi đến 996 để nhận ảnh này qua MMS

Cùng với Java, các thiết bị điện thoại sành điệu cao cấp cũng nắm giữ một vai trò ngày càng quan trọng. Theo Meta Group, gần hai phần ba số doanh nghiệp và tổ chức sẽ triển khai dịch vụ dữ liệu di động vào năm 2007. Email di động sẽ đứng đầu bảng danh sách ứng dụng, với một nửa số tổ chức triển khai hệ thống email không dây trong vòng ba năm nữa. 

Cho đến nay, Java tương đối ít lỗ hổng bảo mật, nhất là khi đem so với Windows. Một trong những ưu thế nổi trội của Java là nó có chức năng bảo mật tích hợp, gây rất nhiều khó khăn cho những kẻ muốn sử dụng chương trình từ xa để tiến hành những hoạt động trái phép. 

Sử dụng hai lỗ hổng do mình phát hiện, Adam đã viết được hai chương trình xâm nhập điện thoại Nokia chuyên gửi tin nhắn SMS và hình ảnh mà người sử dụng không hề hay biết, xoá sạch bộ nhớ điện thoại, kết nối với Internet và ăn cắp dữ liệu kiểu như sổ danh bạ. Thậm chí, về lâu dài, hacker còn có thể khai thác lỗ hổng để cài đặt những phần mềm bí mật ghi lại các tin nhắn đến và đi, hoặc cài đặt các ứng dụng do thám tương tự. 

Tuy số vụ tấn công nhắm vào ĐTDĐ còn lẻ tẻ và ở mức dễ đối phó, song đó không phải là lý do để cả người sử dụng lẫn các hãng liên quan "kê cao gối" ăn no ngủ kỹ. Cẩn thận chưa bao giờ là thừa, bài học đó thì bất cứ ai từng sử dụng máy tính cũng thấm nhuần...

Cầm Thi (Theo CNET)

,
Ý kiến của bạn
Ý kiến bạn đọc
,
,
,
,