hư một phần của quảng cáo cho chiếc laptop mới nhất XPS 15, Dell khoa trương về bảo mật của nó rằng bạn sẽ không phải lo ngại về Superfish. Superfish đã khiến Lenovo phải mang nhiều tiếng xấu hồi đầu năm nay vì lỗi bảo mật có trong phần mềm cài sẵn trên máy tính bán ra cho người dùng. Theo Dell, trong dòng máy mới XPS 15, mỗi phần mềm cài sẵn đều đã được rà soát về bảo mật, tính riêng tây và đảm bảo cho người dùng an toàn trong mọi tình huống dùng.
Nhưng Dell lại vừa gặp một lỗ hổng bảo mật tương tự như Superfish. Nên nếu bạn đang sở hữu chiếc máy tính của Dell, hãy cẩn thận!
trước hết, nếu đang dùng máy Dell, bạn hãy đến đây thẩm tra và xem hướng dẫn cách sửa lỗi. Bạn có ba chọn lọc: tải bản vá về, tự sửa hoặc chờ cập nhật phần mềm mới để Dell sửa cho bạn (có thể mất cả tuần sau mới có bản sửa lỗi đối với những model gặp lỗ hổng này).
>>> Liên kết hữu ích: http://suativi24h.com.vn/sua-chua-tivi-tai-nha
Nếu bạn đang dùng máy tính Dell, hãy nhanh chóng cập nhật lỗi trong eDellRoot.
Vậy vấn đề là gì? Đó là lỗi về chứng nhận root, do nhà lập trình Joe Nord phát hiện. Các máy PC của Dell cho doanh nghiệp và tiêu dùng cài bản cập nhật phần mềm mà Dell đưa ra hôm 15/8 vừa qua đều có thêm một phần mềm mang tên eDellRoot, là chứng thực SSL cài sẵn trên máy, chứa một khoá private. Bởi khoá này nằm trên máy nên kẻ xấu không mất nhiều công sức để chiếm được.
Khoá SSL có nhiệm vụ đảm bảo an toàn cho thông tin giữa trình duyệt trên máy và các máy chủ chạy các trang web thường truy cập của người dùng. Đó có thể là các dịch vụ email, tin nhắn... từ đó kẻ xấu có thể lấy trộm được mật khẩu và dữ liệu mẫn cảm khác phê duyệt can thiệp vào SSL mà người dùng không hề hay biết. Kiểu tiến công này thuộc man-in-the-middle, nghĩa là hacker chặn giữa người dùng và các máy chủ Internet, thu thập bất kỳ thông tin nào đi qua.
So với lỗi bảo mật Superfish của Lenovo, lỗi của Dell lẫn Lenovo đều khá giống nhau. Lỗ hổng trong SSL luôn là vấn đề nghiêm trọng. Superfish nằm trong các ứng dụng bên thứ ba cài sẵn vào máy, còn eDellRoot nằm ngay chính công cụ của Dell.
chứng thực trong eDellRoot không phải là malware hay adware, mà có ý định cung cấp một thẻ định danh dịch vụ hệ thống, gửi lên bộ phận hỗ trợ kỹ thuật của Dell, cho phép nhân viên nhanh chóng nhận diện được model của người dùng, từ đó dễ dàng tương trợ kỹ thuật hơn.
Theo Dell, chứng nhận này không có ý định thu thập thông báo cá nhân chủ nghĩa người dùng.
bản chất, những ý định tốt của nhà sản xuất thỉnh thoảng quay ra trở nên con dao hai lưỡi, như tình huống này mà Dell gặp phải. Thậm chí nếu một công ty tự quảng cáo rằng họ tăng cường mức bảo mật đến đâu chăng nữa thì liệu chúng ta có tự tin đặt trọn niềm tin vào lời khẳng định khi mua thiết bị của họ?
Đã có những doanh nghiệp hùng hồn tuyên bố sản phẩm của họ bảo mật rất tốt. Nhưng cũng có những dẫn chứng thuyết phục đập tan những tuyên bố đó.
Hồi đầu năm 2015, chiếc điện thoại Blackphone gốc được cho là có bảo mật không thể thâm nhập, cũng dính một lỗi mà qua đó cho phép hacker giải mã tin nhắn. Công ty bảo mật Symantec cũng bị Google làm xấu mặt khi hãng này phát hiện một loạt chứng nhận về bảo mật bị lỗi.
Apple cũng bị dính một lỗi SSL nghiêm trọng hồi năm ngoái.
Dell từng chê trách Superfish trong vụ Lenovo để tâng bốc, tiếp thị cho các biện pháp riêng của họ. Và nay, Dell lại bị dính lỗi ngay trong giải pháp gian. Điều quan yếu là người dùng chúng ta cần nhận thức rõ đâu là lời lăng xê, đâu là thực tiễn.
0 nhận xét:
Đăng nhận xét