Việc thiếu các công nghệ bảo mật, đặc biệt là công nghệ sandbox, đã khiến cho Firefox trở thành trình duyệt bị đánh giá thấp ở khả năng này.
Tại Pwn2Own 2014, một sự kiện dành riêng cho giới bảo mật diễn ra ở Vancouver, Canada mới đây, các chuyên gia về bảo mật, hacker đã được dịp "thoải mái" hack các trình duyệt web phổ biến nhất hiện nay: Firefox, Chrome, Safari, và Internet Explorer. Mặc dù nhìn chung, tất cả 4 trình duyệt web này đều gặp những lỗ hổng và đều bị hacker khai thác được, nhưng nhiều người vẫn thắc mắc đâu là trình duyệt có nhiều lỗ hổng bảo mật, kém an toàn nhất. Câu trả lời: Firefox.
4 lỗ hổng zero-day
Trong Pwn2Own 2014, giới hacker đã nhận được tổng số tiền thưởng 850.000 USD cho việc khai thác các lỗ hổng trên 4 trình duyệt chúng ta vừa nói tới. Nhưng có lẽ họ sẽ phải dành lời cảm ơn nhiều nhất dành cho Mozilla, tổ chức phát triển Firefox. Trình duyệt này bị các nhà nghiên cứu khai thác 4 lỗ hổng zero-day, và trong thực tế, nếu kẻ xấu có thể tận dụng các lỗ hổng này, thì đồng nghĩa với việc chúng có thể làm bất kì việc gì mà chúng muốn trên máy tính nạn nhân.
Firefox cũng chưa bao giờ đạt được thành tích cao trong các lần tổ chức Pwn2Own trước đây. Mặc dù format của cuộc thi thường thay đổi theo từng năm kể từ khi cuộc thi được bắt đầu vào 2007, nhưng Firefox không ít thì nhiều cũng "dính chàm" từ năm 2009. Trong khi giới hacker chịu bó tay trước Chrome vào các năm 2009, 2010, 2011, thì năm duy nhất Firefox không bị khai thác lỗ hổng là vào 2011. Tuy nhiên, từ 2012, khi mà giới hacker ngày càng "giỏi" hơn, thì các trình duyệt đều bị phát hiện ít nhất 1 lổ hổng zero-day. Tuy nhiên, với việc bị tố tới 4 lỗ hổng này trong Pwn2Own 2014, thì Firefox rõ ràng là đã để lại những ấn tượng không tốt.
Nguyên nhân
Nguyên nhân khiến Firefox có nhiều điểm yếu về bảo mật đó là việc trình duyệt này không sử dụng công nghệ sandbox. Sandbox giống như 1 "tấm khiên", tường lửa ngăn cách trình duyệt với các thành phần khác của hệ thống máy tính. Bằng cách này, khi hacker tấn công được vào trình duyệt, chúng cũng không thể thâm nhập sâu vào hệ thống để ăn cắp các thông tin khác của người dùng.
Chrome, Safari, và Internet Explorer (các phiên bản mới) đều áp dụng sandbox, trong khi đó Firefox thì không. Điều này đồng nghĩa với việc khi hacker tìm và lợi dụng được vào 1 lỗ hổng bảo mật trên Firefox, chúng có thể truy cập hoàn toàn vào máy tính của nạn nhân từ đó thực hiện các phá hoại khác. Ấy thế mà các nhà nghiên cứu đã tim ra được 4 lổ hổng như thế trên "Cáo lửa". Chưa biết vì sao Mozilla không áp dụng cho Sandbox cho trình duyệt của mình, nhưng có một khả năng đó là do Firefox ra đời trong 1 thời điểm mà bảo mật trình duyệt đang bị xem nhẹ. Khi Google phát triển Chrome ít năm sau Firefox, Google đã hướng tới 1 trình duyệt web an toàn và tốc độ cao, và sandbox đã được áp dụng. Microsoft cũng theo bước Google từ IE8 và IE9. Mới Mozilla, cho dù muốn đưa Sandbox vào Firefox thì có lẽ họ cũng sẽ gặp không ít khó khăn, bởi ban đầu Firefox không được thiết kế cho 1 công nghệ như vậy.
Lựa chọn cho người dùng
Rất may mắn cho những người dùng trình duyệt web như chúng ta là từ Pwn2Own 2013, tất cả các lỗ hổng bảo mật đều được giới hacker báo cáo cho các nhà sản xuất để họ tìm cách sửa lỗi nhanh nhất. Dẫu sao, những gì tại Pwn2Own 2014 cũng nhắc chúng ta rằng Firefox không phải là sự lựa chọn lí tưởng nếu như bạn quan tâm tới vấn đề bảo mật thông tin cá nhân, an toàn dữ liệu...khi lướt web.
Pwn2Own 2014 chứng kiến số tiền thưởng 850.000 USD được trao cho các chuyên gia bảo mật. Giống như 2 năm trước, hãng bảo mật Pháp Vupen cho thấy họ rất giỏi trong lĩnh vực này, khi thu về 400.000 USD tiền thưởng nhờ tìm được tổng số 11 lỗ hổng zero-day (trong các sản phẩm Chrome, Firefox, IE, Adobe Flash, Adobe Reader). Hacker nổi tiếng George Hotz (hay còn được gọi là GeoHot) cũng đút túi 50.000 USD nhờ phát hiện 1 lỗ hổng trên Firefox. Đó là chưa kể 150.000 USD anh nhận được từ Google với công phát hiện lỗ hổng bảo mật của trình duyệt Chrome.
Theo Genk/Extremetech
Bài viết hiện đăng tải tại http://phuoctien.blogspot.com
No comments:
Post a Comment