Một người đã tống tiền Nokia trong năm 2007 bằng cách đe dọa công khai khóa bí mật mà Nokia sử dụng để ký các ứng dụng Symbian, một báo cáo cho biết.
Một người hoặc một nhóm giấu tên báo cáo đã lấy trộm được khóa mật mã được sử dụng bởi Nokia để ký số cho các ứng dụng trên hệ điều hành Symbian và tống tiền công ty hàng triệu euro trong năm 2007 bằng cách đe dọa sẽ công khai các khóa bí mật.
Vụ việc vẫn đang được điều tra bởi cảnh sát ở Phần Lan vì vụ tống tiền ngày một trầm trọng hơn, nhưng vẫn chưa được giải quyết được, trang web tin tức MTV của Phần Lan báo cáo hôm thứ Ba tuần trước.
Nokia từ chối bình luận về báo cáo của MTV và Văn phòng Điều tra Quốc gia Phần Lan đã không trả lời ngay câu hỏi về trường hợp này hôm thứ Tư vừa qua. Microsoft gần đây đã mua mảng thiết bị và dịch vụ kinh doanh của Nokia, cũng từ chối bình luận.
Theo các nhà nghiên cứu bảo mật, nếu khóa bí mật ký số của Nokia cho các ứng dụng trên Symbian đã tải trên Internet nó sẽ cho phép những kẻ tấn công tạo ra phần mềm độc hại nguy hiểm cho nền tảng với quyền truy cập vào chức năng nhạy cảm an ninh.
Nhiều điện thoại Nokia tại thời điểm vụ việc bị cáo buộc, bao gồm cả những thiết bị thuộc dòng Nseries và Eseries những dòng sản phẩm phổ biến, đang chạy Series 60 3rd Edition (S60v3), một phiên bản của hệ điều hành Symbian 9.1 được phát triển bởi công ty.
Một trong những thay đổi lớn nhất trong S60v3 so với các phiên bản trước là nó bắt buộc ký để mã hóa các ứng dụng. Ngoài ra, Nokia chạy một chương trình chứng thực ứng dụng, thông qua đó các nhà phát triển có thể gửi ứng dụng của họ để thử nghiệm và ký bởi công ty.
Theo tài liệu của Nokia, các ứng dụng được chứng thực có thể truy cập với "khả năng mạnh mẽ hơn", hay vào "các API Java hạn chế" và hiển thị thông điệp cảnh báo cho người sử dụng ít hơn.
Kẻ tấn công với khóa bí mật để ký số của Nokia có thể sử dụng nó để đăng ký các ứng dụng riêng của mình và né tránh cơ chế bảo mật, Bogdan Botezatu, một nhà phân tích cao cấp mối đe dọa điện tử tại Bitdefender cho biết qua thư điện tử.
Khóa bí mật có thể không có hiệu lực ngay khi nó bị rò rỉ bởi vì hệ điều hành đã không kiểm tra xem chứng thư số đã bị thu hồi.
"Hầu hết các hệ điều hành không thực sự kiểm tra danh sách chứng thư hủy bỏ (Certificate Revocation Lists); cũng không thực hiện giao thức chứng thực trạng thái trực tuyến - OCSP (Online Certificate Status Protocol) để xác nhận chứng thư số", ông Dave Jevans, Giám đốc công nghệ và người sáng lập của Marble cho biết qua thư điện tử. "Họ thường chỉ dựa vào ngày hết hạn của chứng thư số. Vì vậy, đánh cắp một chứng thư số để ký và khóa bí mật là một việc lớn."
"Thậm chí ngày nay, thu hồi khóa không phải là một nhiệm vụ đơn giản, hãy nhìn lại vào năm 2007 khi điện thoại di động chỉ mới bắt đầu để có được những lợi ích của việc kết nối dữ liệu," Botezatu cho biết. "Theo như tôi nhớ, tính hợp lệ của chữ ký đã được kiểm tra đối với một chứng thư gốc được cung cấp với thiết bị. Các gói phần mềm được coi là đáng tin cậy miễn là chứng thư gốc đáng tin cậy."
Điều này sẽ giải thích lý do tại sao Nokia sẽ có những hành đông mạnh mẽ để giữ khóa bí mật để ký số không được công khai nếu bị đánh cắp.
Nếu một khóa bí mật bị đánh cắp, hai năm phát triển sau đó của Symbian 9 sẽ thành vô ích, Victor Yablokov, người đứng đầu bộ phận di động của Kaspersky Lab cho biết.
Phân phối một ứng dụng độc hại được ký số sẽ không gặp khó khăn vào thời điểm đó. Trong thực tế, phần mềm độc hại trên điện thoại thông minh đầu tiên được phát hiện ra là một con sâu Symbian gọi Cabir lây lan qua Bluetooth.
Không có thiết lập bảo mật để cho phép cài đặt các ứng dụng chỉ từ một cửa hàng chính thức tại thời điểm đó, vì vậy các ứng dụng đã được tải về từ thường những nơi khác nhau trên Internet hoặc cài đặt trên điện thoại từ máy tính thông qua một cáp dữ liệu, Yablokov nói.
Nokia đã báo cáo hành động tống tiền cho Văn phòng Điều tra Quốc gia Phần Lan, theo MTV. Số tiền được đặt trong một túi và để lại trong một bãi đậu xe trong thành phố Tampere của Phần Lan, nhưng cảnh sát bị mất dấu vết của kẻ tống tiền sau khi túi tiền đã bị lấy đi, báo cáo cho biết.
Theo các nhà nghiên cứu bảo mật, nếu khóa bí mật ký số của Nokia cho các ứng dụng trên Symbian đã tải trên Internet nó sẽ cho phép những kẻ tấn công tạo ra phần mềm độc hại nguy hiểm cho nền tảng với quyền truy cập vào chức năng nhạy cảm an ninh.
Nhiều điện thoại Nokia tại thời điểm vụ việc bị cáo buộc, bao gồm cả những thiết bị thuộc dòng Nseries và Eseries những dòng sản phẩm phổ biến, đang chạy Series 60 3rd Edition (S60v3), một phiên bản của hệ điều hành Symbian 9.1 được phát triển bởi công ty.
Một trong những thay đổi lớn nhất trong S60v3 so với các phiên bản trước là nó bắt buộc ký để mã hóa các ứng dụng. Ngoài ra, Nokia chạy một chương trình chứng thực ứng dụng, thông qua đó các nhà phát triển có thể gửi ứng dụng của họ để thử nghiệm và ký bởi công ty.
Theo tài liệu của Nokia, các ứng dụng được chứng thực có thể truy cập với "khả năng mạnh mẽ hơn", hay vào "các API Java hạn chế" và hiển thị thông điệp cảnh báo cho người sử dụng ít hơn.
Kẻ tấn công với khóa bí mật để ký số của Nokia có thể sử dụng nó để đăng ký các ứng dụng riêng của mình và né tránh cơ chế bảo mật, Bogdan Botezatu, một nhà phân tích cao cấp mối đe dọa điện tử tại Bitdefender cho biết qua thư điện tử.
Khóa bí mật có thể không có hiệu lực ngay khi nó bị rò rỉ bởi vì hệ điều hành đã không kiểm tra xem chứng thư số đã bị thu hồi.
"Hầu hết các hệ điều hành không thực sự kiểm tra danh sách chứng thư hủy bỏ (Certificate Revocation Lists); cũng không thực hiện giao thức chứng thực trạng thái trực tuyến - OCSP (Online Certificate Status Protocol) để xác nhận chứng thư số", ông Dave Jevans, Giám đốc công nghệ và người sáng lập của Marble cho biết qua thư điện tử. "Họ thường chỉ dựa vào ngày hết hạn của chứng thư số. Vì vậy, đánh cắp một chứng thư số để ký và khóa bí mật là một việc lớn."
"Thậm chí ngày nay, thu hồi khóa không phải là một nhiệm vụ đơn giản, hãy nhìn lại vào năm 2007 khi điện thoại di động chỉ mới bắt đầu để có được những lợi ích của việc kết nối dữ liệu," Botezatu cho biết. "Theo như tôi nhớ, tính hợp lệ của chữ ký đã được kiểm tra đối với một chứng thư gốc được cung cấp với thiết bị. Các gói phần mềm được coi là đáng tin cậy miễn là chứng thư gốc đáng tin cậy."
Điều này sẽ giải thích lý do tại sao Nokia sẽ có những hành đông mạnh mẽ để giữ khóa bí mật để ký số không được công khai nếu bị đánh cắp.
Nếu một khóa bí mật bị đánh cắp, hai năm phát triển sau đó của Symbian 9 sẽ thành vô ích, Victor Yablokov, người đứng đầu bộ phận di động của Kaspersky Lab cho biết.
Phân phối một ứng dụng độc hại được ký số sẽ không gặp khó khăn vào thời điểm đó. Trong thực tế, phần mềm độc hại trên điện thoại thông minh đầu tiên được phát hiện ra là một con sâu Symbian gọi Cabir lây lan qua Bluetooth.
Không có thiết lập bảo mật để cho phép cài đặt các ứng dụng chỉ từ một cửa hàng chính thức tại thời điểm đó, vì vậy các ứng dụng đã được tải về từ thường những nơi khác nhau trên Internet hoặc cài đặt trên điện thoại từ máy tính thông qua một cáp dữ liệu, Yablokov nói.
Nokia đã báo cáo hành động tống tiền cho Văn phòng Điều tra Quốc gia Phần Lan, theo MTV. Số tiền được đặt trong một túi và để lại trong một bãi đậu xe trong thành phố Tampere của Phần Lan, nhưng cảnh sát bị mất dấu vết của kẻ tống tiền sau khi túi tiền đã bị lấy đi, báo cáo cho biết.
Theo CSO
Thêm bình luận