Chuyên gia tư vấn bảo mật cao cấp David Thiel của iSEC Partners tuyên bố các phần mềm đa phương tiện “dính” hàng loạt lỗi bảo mật “chết người” có thể bị tin tặc lợi dụng bí mật cài mã độc hoặc bắt cóc PC người dùng.
Trong bài trình bày trước các đại biểu tham gia Hội nghị Black Hat, Thiel chỉ đưa ra trình diễn các lỗ hổng bảo mật trong phần mềm đa phương tiện miễn phí nhưng khẳng định hàng loạt phần mềm thương mại cũng mắc lỗi tương tự. Thiel từ chối tiết lộ danh tính các phần mềm mắc lỗi với lý do hiện anh đang cộng tác với các nhà phát triển phần mềm giúp họ khắc phục lỗi.
David Thiel tại Black Hat. |
“Tuy nhiên, mức độ nguy hiểm tiềm tàng của những lỗ hổng này tương đối cao bởi một nguyên nhân, người dùng thường không mấy quan tâm là họ đang xem một video trên YouTube hay nghe nhạc trên website nào. Người dùng thường để cho ứng dụng đa phương tiện được tự động phát tệp tin, chính vì thế mà tôi cho rằng nguy cơ bị tấn công tương đối cao”.
Công cụ giúp Thiel phát hiện ra các lỗ hổng bảo mật trong các ứng dụng đa phương tiện là một phần mềm mới do chính anh phát triển dựa trên kỹ thuật “fuzzing”. Đây là kỹ thuật làm hỏng tệp tin thuộc về một ứng dụng nào đó theo một cách được kiểm soát chặt chẽ nhằm giúp tìm các lỗi bảo mật.
Paul Proctor – Phó chủ tịch phụ trách nghiên cứu của Gartner - nhận định phát hiện của Thiel sẽ buộc các hãng phần mềm phải lao vào nghiên cứu và điều tra các lỗi bảo mật nhằm tìm ra giải pháp khắc phục càng sớm càng tốt bởi phương pháp tấn công của Thiel có vẻ như cho phép đột nhập chậm nhưng sâu vào trong hệ thống.
Jeff Moss, Giám đốc điều hành Black Hat, cho biết hội nghị năm nay quyết định chọn lựa phần trình bày của Thiel vì hiện nay các chuẩn định dạng tệp tin đa phương tiện đang ngày một trở nên phổ biến rộng rãi trước sự bùng nổ của các trang web chia sẻ nội dung trực tuyến như YouTube, MySpace …
Hoàng Dũng