Đôi lúc, ý định của những kẻ thủ ác là "phá huỷ thế giới thực thông qua các công cụ số" - đó là cảnh báo của gã khổng lồ công nghệ Trung Quốc Tencent. Các nhà nghiên cứu của công ty này vừa phát hiện ra một loạt các lỗ hổng mới bên trong nhiều củ sạc nhanh bán được bán tràn ngập khắp các thị trường trên toàn thế giới.
Khi bạn kết nối thiết bị vào một củ sạc nhanh bằng cáp USB, liên kết giữa củ sạc và thiết bị sẽ được thiết lập, một quá trình "đàm phán" sẽ diễn ra nhằm đưa vào thiết bị dòng điện mạnh nhất mà nó có thể chịu được một cách an toàn. Quá trình "đàm phán" này được quản lý giữa firmware trên thiết bị và firmware trên củ sạc, và mọi chuyện sẽ chẳng có gì để nói nếu cả hai đều hoạt động theo đúng chức năng của chúng.
Nhưng các nhà nghiên cứu của Tencent đã chứng minh được rằng một củ sạc đã bị can thiệp có thể ghi đè quá trình "đàm phán" này, đưa vào thiết bị dòng điện với công suất lớn hơn mức an toàn, dẫn đến việc thiết bị bị phá huỷ và có thể xảy ra nguy cơ cháy nổ.
Bởi củ sạc nhanh về cơ bản là một thiết bị thông minh, nó hoàn toàn có thể bị kẻ xấu can thiệp. Tấn công vào củ sạc nhanh là điều rất đơn giản. Với malware được nạp vào một chiếc smartphone, kẻ tấn công chỉ cần kết nối vào củ sạc, ghi đè firmware của nó, và biến nó thành một món vũ khí nhắm vào bất kỳ thứ gì cắm vào nó sau đó.
Một cú twist khá thú vị ở đây là malware có thể được cài cắm vào chính thiết bị mà hacker muốn phá huỷ. Có nghĩa là, kẻ tấn công thả mã độc vào điện thoại của bạn. Lần tới, khi bạn kết nối điện thoại vào một củ sạc bị dính lỗ hổng, điện thoại sẽ ghi đè firmware của nó. Và lần tiếp theo bạn kết nối chính củ sạc này để sạc điện thoại lần nữa, điện thoại sẽ bị nướng chín.
Tencent gọi lỗ hổng này là "BadPower" và cảnh báo rằng "mọi sản phẩm dính lỗi BadPower đều có thể bị tấn công bằng phần cứng đặc biệt, và một lượng lớn trong số chúng cũng có thể bị tấn công bởi các thiết bị đầu cuối thông thường như điện thoại di động, tablet, và laptop có hỗ trợ giao thức sạc nhanh".
Các nhà nghiên cứu đã xác định 234 củ sạc nhanh trên thị trường và tiến hành thử nghiệm 35 trong số chúng. Kết quả, họ phát hiện "ít nhất 18 củ sạc dính vấn đề BadPower, đến từ 8 nhãn hiệu khác nhau". Trong số 18 thiết bị sạc đó, có 11 dễ bị ảnh hưởng bởi một cuộc tấn công đơn giản thông qua một thiết bị khác cũng hỗ trợ giao thức sạc nhanh, như điện thoại di động chẳng hạn.
Hình ảnh trích ra từ video của Tencent cho thấy thiết bị bốc cháy
Theo các nhà nghiên cứu, dù nguy cơ có thể xảy ra với các thiết bị vốn được thiết kế để sạc nhanh, nhưng các thiết bị không tương thích với sạc nhanh lại tiềm ẩn nguy cơ còn lớn hơn nữa. Lời khuyên dành cho bạn là không nên cắm các thiết bị 5 volt cơ bản vào các củ sạc nhanh với cáp USB sang USB-C.
Nhóm nghiên cứu tại Xuanwu Lab của Tencent đã thông báo vấn đề này với Cơ sở dữ liệu Lỗ hổng Quốc gia Trung Quốc (CNVD) và sẽ làm việc với các nhà sản xuất bị ảnh hưởng nhằm đưa ra những giải pháp hạn chế nguy cơ. Rõ ràng, trước một vấn đề nghiêm trọng như thế này, cần có những tiêu chuẩn chặt chẽ hơn được đưa ra.
Vậy đây có phải là một vấn đề mà bạn thực sự nên lo lắng? Còn tuỳ. Có một vấn đề lớn hơn ở đây, và các giải pháp an toàn vẫn chưa được đưa ra trên quy mô rộng. Có nghĩa là những củ sạc mà bạn mua từ trên mạng - không có cách nào để biết cái nào dính lỗ hổng - có thể phá huỷ thiết bị của bạn hoặc tệ hơn nữa. Rõ ràng cách an toàn nhất lúc này là sử dụng những củ sạc từ các nhà sản xuất có tiếng tăm với bất kỳ sản phẩm nào mà bạn sử dụng tại nhà.
Một vấn đề khác: trước đây, chúng ta từng nhiều lần được cảnh báo hạn chế sử dụng các củ sạc ở nơi công cộng hoặc những củ sạc mượn từ người khác. Nguy cơ tiềm ẩn ở đây chính là khả năng bị đánh cắp dữ liệu, khi bạn sử dụng một sợi cáp dữ liệu để sạc thiết bị và không biết chính xác nguồn gốc lai lịch của củ sạc đó. Trên thị trường có khá nhiều những sợi cáp dữ liệu đã bị can thiệp dùng cho mục tiêu này, bên trong chúng ẩn giấu một kết nối không dây.
Lời khuyên - rằng phải cẩn thận khi kết nối thiết bị thông minh với một sợi cáp thông minh vốn có thể làm nhiều thứ hơn chỉ đơn thuần là sạc - trong hai trường hợp nêu trên là hoàn toàn giống nhau.
Ngoài những yếu tố về kỹ thuật, vấn đề lần này có thể xem là một lời cảnh báo cấp thiết khác trong bối cảnh lĩnh vực IoT đang bùng nổ, trong đó chúng ta mua, cắm, và kết nối hàng loạt các thiết bị với nhau. Nhà ở lẫn văn phòng của chúng ta không thiếu các thiết bị công nghệ, và trong khi chúng ta lo lắng về sự an toàn của máy tính, điện thoại, và tablet, thì chúng ta đang quên mất những thiết bị bếp, phụ kiện nhà thông minh, hay những món đồ chơi mua trực tuyến từ những khu chợ mà bản thân chúng ta có lẽ chưa bao giờ nghe đến trước đây.
Chúng ta đang bị vây quanh bởi vô số những chiếc máy tính tí hon, nhiều trong số đó được chính bạn kết nối vào mạng Wi-Fi gia đình và mở cho chúng một con đường để đi ra thế giới bên ngoài. Tất nhiên, mọi vấn đề bạn phải đối mặt đều xoay quanh dữ liệu và bảo mật. Báo cáo lần này từ Tencent đã cho thấy có những mối nguy hiểm khác ẩn nấp ngoài kia, bùng lên từ chính những vấn đề mà chúng ta đã biết.
Nguồn: Genk.vn