Skip to content
  • Tiếng Việt
  • English

Apple bỏ giao thức SSL 3.0 vì lỗ hổng nguy hiểm

Sau khi thông tin về lỗ hổng POODLE bên trong giao thức SSL 3.0 được các hãng bảo mật cảnh báo, Apple thông báo hãng sẽ chuyển sang sử dụng chuẩn mã hóa TLS để hạn chế nguy cơ rò rỉ dữ liệu mã hóa.

Apple, SSL 3.0, lỗ hổng Poodle

Cụ thể, Apple sẽ không sử dụng chuẩn SSL 3.0 để cung cấp dịch vụ tin nhắn thông báo (notifications) trên các thiết bị của hãng này, mà sẽ chính thức sử dụng TLS, một giao thức hiện đại hơn, ít "hớ hênh" hơn so với SSL kể từ ngày 29/10 tới. Theo đó, những ứng dụng nào chỉ sử dụng SSL 3.0 sẽ phải hỗ trợ đồng thời TLS để đảm bảo rằng dịch vụ Apple Push Notification hoạt động thông suốt, còn những ứng dụng nào đang hỗ trợ cả hai giao thức này sẽ không bị ảnh hưởng bởi quyết định của Apple và cũng không cần phải thay đổi gì.

Trước đó, nhiều hãng bảo mật có uy tín đã phát đi cảnh báo về lỗ hổng POODLE bên trong SSL 3.0 cho phép kẻ tấn công truy cập vào mạng lưới và lấy được các thông tin mã hóa.  Lỗ hổng này cũng có thể cho phép tin tặc chiếm tài khoản ebanking, tài khoản chứng khoán và thương mại điện tử của nạn nhân. SSL 3.0 là một giao thức được sử dụng phổ biến để mã hóa và bảo vệ dữ liệu trao đổi giữa các website ebanking, chứng khoán và thương mại điện tử nên nguy cơ tiềm ẩn của POODLE là rất lớn. Dù đa phần các website đã chuyển sang giao thức mới TLS 1.2, nhưng vẫn đứng trước nguy cơ bị tấn công do các web server đều tương thích ngược với SSL 3.0.

Nếu website và trình duyệt của người dùng cùng sử dụng SSL 3.0 để trao đổi dữ liệu, tin tặc có thể đánh cắp tài khoản giao dịch trực tuyến của người dùng và chuyển tiền tới tài khoản khác hoặc thực hiện giao dịch chứng khoán, mua hàng hóa bằng tài khoản của nạn nhân. Ngay sau khi lỗ hổng được công bố, một công ty bảo mật lớn của Việt Nam đã tiến hành kiểm tra các website giao dịch trực tuyến quan trọng và phát hiện hơn 2/3 (68%) các dịch vụ này vẫn sử dụng SSL 3.0.

Ngân hàng Nhà nước cũng đã thông báo tới các đơn vị đang cung cấp dịch vụ ebanking có sử dụng SSL 3.0 về lỗ hổng. Tính đến thời điểm này, hầu hết các ngân hàng đã khắc phục xong và người dùng có thể giao dịch một cách an toàn. Tuy nhiên vẫn còn rất nhiều website giao dịch trực tuyến khác chưa tiến hành khắc phuc.

Trên thế giới, mạng tiểu blog Twitter cũng thông báo tới người dùng về việc sẽ dừng hỗ trợ SSL 3.0, trong khi Mozilla khuyến cáo người dùng Firefox nhanh chóng cài đặt một bản add-on bảo mật để vô hiệu hóa SSL 3.0. Ngoài Google và Mozilla, các nhà nghiên cứu của Đại học Michigan cũng đã mô tả chi tiết cách tắt SSL 3.0 trên trình duyệt IE.