Chuyên gia bảo mật cảnh báo lỗ hổng an ninh trong chương trình nâng cấp firmware máy ảnh Sony
Nếu bạn đang dùng máy ảnh Sony thì đây là điều bạn nên chú ý: một chuyên gia bảo mật máy tính đang cảnh báo rằng quá trình nâng cấp firmware cho máy ảnh Sony có lỗ hổng bảo mật nghiêm trọng có thể gây nguy hiểm cho máy tính và thông tin cá nhân của bạn.
Chuyên gia máy ảnh và phần mềm Lloyd Chambers
của trang diglloyd.com là người đầu tiên phát hiện ra vấn đề này từ tháng 10 năm 2017. Chambers nói rằng trong khi các công ty như Nikon và Canon dùng quá trình nâng cấp firmware an toàn trong máy ảnh thì Sony lại dùng chương trình nâng cấp chạy trên máy tính có yêu cầu sử dụng quyền quản lý (administrative root access" và khi bạn cho phép thì gần như chương trình này có thể làm mọi thứ.
Theo Chambers "điều này có nghĩa là nó có thể cài đặt những thứ như là chương trình đọc bàn phím và chuyển tất cả những gì bạn gõ trên máy tính cho các hacker ở Belarus. Vì thế tất cả các tài khoản, tiền, chứng minh nhân thân... đều bị đặt ở tình trạng không an toàn".
Apple đã thiết chặt an ninh trên MacOS và Sony đã có cảnh báo muộn vào năm ngoái là hệ thống an ninh trong MacOS 10.13 High Sierra có thể chặn không cho phần mềm nâng cấp firmware của Sony cho các máy ảnh như A7RIII hoạt động.
"Với những nguy hiểm về an ninh như thế này thì cách thiết kế để phần mềm yêu cầu quyền truy cập nhân hệ điều hành là rất tệ".
Tháng giêng năm 2018, Sony đã công bố giải pháp cho vấn đề chương trình nâng cấp không hoạt động được bình thường trên High Sierra, nhưng thay vì trả lời lại việc thắt chặt kiểm soát an ninh của Apple với một hệ thống nâng cấp an toàn hơn thì Sony lại đăng một hướng dẫn giúp người sử dụng máy ảnh cài đặt phần mở rộng nhân kernel và cho phép quyền truy cập trên High Sierra.
Chambers còn nói thêm: "Phần mở rộng kernel của Sony đã bị chặn bởi MacOS vì đó là một ý tưởng rất tồi. Ngày nay việc yêu cầu mở rộng kernal để cài một chương trình nâng cấp firmware cho máy ảnh là thái độ rất bất cẩn với các mối nguy từ an ninh mạng và theo quan điểm của tôi thì đây là cách làm kém cỏi".
Đây là những gì Chambers nói với PetaPixel về tình hình hiện tại:
Cách hoạt động hiện nay của phần mềm nâng cấp firmware Sony là không thể chấp nhận được vì nó cần người dùng biết được là nó miễn phí và không bị malware. Chương trình chỉ được chứng nhận bởi Sony (sign) và không có nghĩa là nó sẽ không bị nhiễm các lệnh nguy hiểm (có thể bị nhiễm từ trước khi chứng nhận).
Nếu phần mềm của Sony bị cải biến (thậm chí là ở mức mã nguồn) để malware có thể tự do truy cập nhân của hệ thống cho tới khi hệ thống bị xóa hoàn toàn (cho rằng chương trình lây nhiễm này không cài đè lên firmware ở nhiều vị trí thì máy ảnh nên bị vứt bỏ).
Từ khi Sony Pictures bị hack vài năm trước làm mất nhiều tài sản sở hữu trí tuệ (làm công ty ngừng hoạt động vài tuần) thì người sử dụng không nên tin tưởng vào "bộ kit" cho hacker thâm nhập vào máy của bạn từ chương trình nâng cấp này.
Giải pháp DUY NHẤT là sử dụng phần mềm nâng cấp trong máy ảnh. Ngay cả khi nó không hoàn toàn an toàn (trong quá trình download có thể gặp vấn đề), nhưng nó không trực tiếp mở lối vào nhân hệ thống hay thậm chí là quyền kiểm soát hệ thống.
Có nguy cơ trong việc Sony cần vượt qua giới hạn cấm trong quy trình bảo mật an ninh của Apple. Thực sự là việc mở rộng kernel của Sony không chỉ đơn giản là cài vào máy mà còn cần nhiều bước cho phép từ người sử dụng sau khi cài đặt, nhất là với hệ điều hành mới iMac Pro với các vòng bảo vệ an ninh được thiết lập chặt chẽ hơn nhiều.
Nếu bạn không muốn tin tưởng Sony và muốn đặt sự an toàn bảo mật máy tính của mình vào tay một công ty khác thì Chambers khuyên các bạn nên cài đặt nâng cấp bằng một máy ảo và sau đó xóa bỏ nó đi.
PetaPixel và Chambers đã liên hệ nhiều lần với Sony về vấn đề này nhưng cho đến nay công ty vẫn chưa có phản hồi chính thức.
Nếu các bạn đang sử dụng máy ảnh Sony, tốt nhất nên chờ phản hồi từ Sony và chờ cách giải quyết an toàn cho vấn đề này trước khi tiến hành nâng cấp.
Bài báo gốc bằng tiếng Anh trên PetaPixel: https://petapixel.com/2018/02/01/sonys-camera-firmware-updater-major-security-risk-expert-warns/
