Dịch vụ email tự xưng là bảo mật nhất thế giới, bán cả thiết bị giá 200 USD bị các nhà nghiên cứu bóc trần sự thật

Neo,

Theo một nhà nghiên cứu bảo mật, dịch vụ email tự xưng là an toàn nhất thế giới có rất nhiều lỗ hổng.

Trong thời đại mà tội phạm mạng phát triển mạnh mẽ, những thông tin riêng tư và đặc biệt là email chúng ta luôn luôn trong tình trạng nguy hiểm. Luôn tiềm ẩn nguy cơ ai đó xâm nhập vào email của chúng ta và đánh cắp những thông tin bí mật nhất.

Dù ai cũng biết rằng email không còn là giải pháp liên lạc an toàn trong thời đại này nhưng chúng ta chưa có giải pháp nào thay thế. Đây là lý do tại sao một hãng startup mang tên Nomx tung ra một sản phẩm/dịch vụ thay đổi cách chúng ta gửi email theo hướng an toàn hơn. Thậm chí, Nomx còn tự tin khoe rằng giải pháp của họ "đảm bảo sự an toàn và riêng tư tuyệt đối" cho email của người dùng.

"Bạn có biết rằng tất cả các nhà cung cấp email lớn trên thế giới đều đã bị hack?", Nomx cảnh báo. "Mọi thứ đều không an toàn".

Nhưng cuối cùng Nomx cũng không an toàn như những gì họ khoe khoang.

Nomx phát triển và bán một thiết bị có giá 199 USD giúp bạn thiết lập máy chủ email của riêng mình, giúp email của bạn tránh khỏi máy chủ trao đổi thư (MX), thứ mà công ty này cho rằng rất dễ bị xâm nhập.

Nhà nghiên cứu an ninh mạng Scott Helme đã tiến hành "mổ xẻ" thiết bị của Nomx để xem cách thức hoạt động của nó. Theo miêu tả chi tiết trên blog của Helme, bên trong thiết bị giá 199 USD này chẳng có gì thần thánh. Nó chỉ bao gồm một máy tính Raspberry Pi với phần mềm lỗi thời. Thực tế, Helme viết, code của Nomx có rất nhiều lỗ hổng.

Vấn đề tệ nhất, theo Helme, ứng dụng web của Nomx có một lỗ hổng cho phép bất cứ ai chiếm kiểm soát thiết bị từ xa chỉ bằng một cách đơn giản: lừa người dùng truy cập vào một trang web chứa mã độc.

"Tôi có thể đọc email, gửi email và xóa email. Tôi thậm chí còn có thể tự tạo địa chỉ email cho mình", Helme chia sẻ với Motherboard.

Helme phát hiện ra rằng ứng dụng web của Nomx dễ bị tấn công qua lỗ hổng giả mạo yêu cầu cross-site (CSRF). CSRF là phương thức tấn công web phổ biến, đánh lừa máy tính của nạn nhân chạy một trang web chứa mã độc. Lỗ hổng này có thể cho phép hacker tấn công vào bất kỳ tài khoản nào của người dùng Nomx.

Will Donaldson, CEO của Nomx, bác bỏ nghiên cứu của Helme. Ông này cho rằng mục tiêu chỉ bị tấn công bởi lỗ hổng CSRF khi họ mở trang quản lý Nomx vào thời điểm nhấp vào liên kết chứa mã độc. Helme không đồng tình với tuyên bố của Donaldson. Ngoài ra, CEO Nomx còn tuyên bố rằng lỗ hổng bảo mật trên đã được vá sau khi Helme gửi thông báo tới Nomx.

Donaldson còn nói rằng Helme đã tiến hành thử nghiệm trên một thiết bị cũ và thậm chí Helme còn root thiết bị này. Phiên bản mới của Nomx không còn sử dụng máy tính Raspberry Pi.

Bên trong thiết bị giá 199 USD của Nomx chả có gì ngoài một máy tính Raspberry Pi

Mặc dù tuyên bố rằng rất sẵn lòng chia sẻ và sẽ trả lời cả những câu hỏi độc đáo, đặc biệt nhưng Donaldson đã phớt lờ câu hỏi về việc liệu những người dùng thiết bị cũ có nhận được một bản vá bảo mật hay không. Thay vào đó, Donaldson cho rằng chúng ta nên hỏi Helme xem liệu anh ta có thể liệt kê ra những vụ người dùng Nomx bị tấn công trong thực tế hay không. Hơn nữa, Donaldson còn cố gắng nhắc lại những vụ tấn công email nổi tiếng trong lịch sử của các ông lớn như Yahoo và Google. Ông này cũng không tiết lộ hiện tại Nomx có bao nhiêu khách hàng.

Dẫu vậy, đây không phải là vấn đề lớn nhất mà Nomx phải đối mặt. Email mà chúng ta gửi đi vẫn sẽ được định tuyến tới các máy chủ không an toàn nếu chúng ta và người nhận không cùng sử dụng thiết bị của Nomx. Đó là cách vận hành của email, chúng ta chẳng thể thay đổi được.

Hơn nữa, vụ máy chủ email của bà Hillary Clinton bị hack cho chúng ta thấy rằng tự thiết lập máy chủ email không phải là một ý tưởng hay. Thay vào đó, nhiều chuyên gia bảo mật cho rằng hãy tin tưởng vào một công ty như Google hoặc Microsoft, những đơn vị có trong tay đội ngũ kỹ sư bảo mật tốt nhất thế giới.

"Nomx có một suy nghĩ sai lầm. Tự vận hành máy chủ email là một điều rất khó khăn và khiến bạn phải đối mặt với nguy cơ cao hơn", Helme nói. "Tôi không khuyến khích mọi người sử dụng những thiết bị như thế này".

Theo Motherboard

Microsoft biết về lỗ hổng bảo mật đe dọa hàng triệu máy tính trên Word nhưng 6 tháng sau mới chịu vá, tại sao vậy?

Theo Trí Thức TrẻCopy link

Link bài gốcLấy link

Tags:

Tin cùng chuyên mục

Xem theo ngày

NỔI BẬT TRANG CHỦ

Kênh Facebook của Apple chẳng có 1 post nào, ấy vậy mà lại vừa cập nhật ảnh bìa hé lộ các điểm mới trên iPad?
Bên cạnh hình vẽ cây bút Apple Pencil ám chỉ sẽ có iPad mới cho sự kiện này, nhà Táo còn lặng lẽ "khuyến mãi" thêm 5 bức vẽ khác để fan hâm mộ đồn đoán thêm.
Chính thức: Apple ấn định ngày ra mắt iPad thế hệ mới

Dịch vụ email tự xưng là bảo mật nhất thế giới, bán cả thiết bị giá 200 USD bị các nhà nghiên cứu bóc trần sự thật

Theo một nhà nghiên cứu bảo mật, dịch vụ email tự xưng là an toàn nhất thế giới có rất nhiều lỗ hổng.

Kênh Facebook của Apple chẳng có 1 post nào, ấy vậy mà lại vừa cập nhật ảnh bìa hé lộ các điểm mới trên iPad?

Chính thức: Apple ấn định ngày ra mắt iPad thế hệ mới