Cẩn trọng khi sử dụng WiFi miễn phí của khách sạn

10:33, 02/04/2015

(Telecom&IT) - Hệ thống mạng Wi-Fi miễn phí tại khách sạn, quán cà phê, sân bay... luôn là đối tượng tiềm năng của các tin tặc. Các nhà nghiên cứu bảo mật đã phát hiện...


Lỗ hổng này cho phép hacker lây nhiễm phần mềm độc hại vào máy tính của khách du lịch để ăn cắp hay theo dõi dữ liệu cá nhân mà họ gửi qua mạng và thậm chí có thể truy cập vào hệ thống thẻ của khách sạn và đặt phòng.

Với lỗ hổng bảo mật (CVE-2015-0932), tin tặc có thể truy cập trực tiếp vào hệ thống tập tin gốc trong các thiết bị InnGate của ANTIabs để đọc hoặc viết bất kỳ tệp tin nào từ hệ thống của thiết bị tương ứng, bao gồm cả dữ liệu đã được sử dụng nhằm lây nhiễm sang các thiết bị khác của người sử dụng Wi-Fi.

Có đến 277 khách sạn, trung tâm hội nghị và các trung tâm dữ liệu trên 29 quốc gia bị phát hiện có lỗ hỏng trên. Tuy nhiên, số lượng thực tế có thể còn lớn hơn nhiều. Tác động của lỗ hỏng này có thể ảnh hưởng đến hàng triệu người sử dụng mạng Wi-Fi miễn phí. Ngoài ra, lỗ hổng này cũng giúp tin tặc tấn công vào máy tính thuộc sở hữu của các tổ chức điều hành.

Trong một số trường hợp, InnGate được cấu hình với hệ thống quản lý tài sản (PMS). Do đó, tin tặc có thể đạt quyền truy cập sâu hơn vào mạng lưới kinh doanh của khách sạn để xác định danh tính của khách cũng như số phòng của họ. 

Hơn nữa, PMS lại thường được tích hợp với các hệ thống điện thoại, hệ thống POS để xử lý các giao dịch thẻ tín dụng, cũng như hệ thống thẻ điện tử để quét mở cửa vào phòng tại khách sạn.

Lỗ hổng này nằm trong unauthenticated Rsync daemon chạy trên TCP 873 được sử dụng bởi các thiết bị ANTIabs. Rsync daemon là một công cụ sao chép tập tin cực kỳ linh hoạt, được sử dụng rộng rãi cho các hệ thống sao lưu tập tin vì nó có thể tự động sao chép tập tin từ một địa điểm khác. Rsync daemon có thể có mật khẩu bảo vệ, nhưng các thiết bị ANTIabs lại không yêu cầu chứng thực.

Một khi hacker kết nối thành công với Rsync daemon, chúng có thể đọc và gửi lệnh cho các hệ thống tập tin của hệ điều hành Linux mà không có bất kỳ hạn chế nào. Do tính chất phổ biến của lỗ hổng, ANTIabs đã tung ra một bản vá giải quyết CVE-2015-0932 với một cảnh báo về lỗ hổng quan trọng do US-CERT phát hành.
TIN LIÊN QUAN
Từ khóa: miễn phíbảo mậtnghiên cứuphát hiệnhệ thốngkhách sạntiềm năngsân baylỗ hổngcà phênghiêm trọng

Bài khác

Học sinh Hà Nội tỏa sáng tại giải thi đấu Robot thế giới Học sinh Hà Nội tỏa sáng tại giải thi đấu Robot thế giới
04:30 pm, 10/05/2024
Cần làm rõ biện pháp kỹ thuật để bảo vệ dữ liệu cá nhân Cần làm rõ biện pháp kỹ thuật để bảo vệ dữ liệu cá nhân
04:06 pm, 10/05/2024
Quảng Trị thiết lập Ban chỉ đạo cho Kỳ thi tốt nghiệp THPT 2024 Quảng Trị thiết lập Ban chỉ đạo cho Kỳ thi tốt nghiệp THPT 2024
03:17 pm, 10/05/2024
Bị lừa 1 tỷ đồng vì đăng ký 'trại hè' qua mạng xã hội Bị lừa 1 tỷ đồng vì đăng ký 'trại hè' qua mạng xã hội
02:44 pm, 10/05/2024
Tích cực thúc đẩy hơn nữa hợp tác giáo dục giữa Việt Nam và EU Tích cực thúc đẩy hơn nữa hợp tác giáo dục giữa Việt Nam và EU
02:01 pm, 10/05/2024
Hợp tác y tế Việt - Nhật, cơ hội chuyển giao các phương pháp y tế tiên tiến Hợp tác y tế Việt - Nhật, cơ hội chuyển giao các phương pháp y tế tiên tiến
11:10 am, 10/05/2024
Bị lừa tiền tỷ khi đăng ký khóa học “Trại hè Quân đội Nhí 2024” trên mạng Bị lừa tiền tỷ khi đăng ký khóa học “Trại hè Quân đội Nhí 2024” trên mạng
10:23 am, 10/05/2024
iPad Pro M4 13 inch và Galaxy Tab S9 Ultra: Đâu là máy tính bảng vượt trội? iPad Pro M4 13 inch và Galaxy Tab S9 Ultra: Đâu là máy tính bảng vượt trội?
09:51 am, 10/05/2024
SoC Dimensity 9300+ cải tiến hiệu suất smartphone flagship, tăng tốc quá trình xử lý AI tạo sinh SoC Dimensity 9300+ cải tiến hiệu suất smartphone flagship, tăng tốc quá trình xử lý AI tạo sinh
09:31 am, 10/05/2024
Cách giải phóng dung lượng trên iPhone, iPad Cách giải phóng dung lượng trên iPhone, iPad
09:05 am, 10/05/2024

Bài mới nhất

Bộ phận 'một cửa' tại Hà Nội thanh toán không dùng tiền mặt từ 1/6 Bộ phận 'một cửa' tại Hà Nội thanh toán không dùng tiền mặt từ 1/6
Học sinh Hà Nội tỏa sáng tại giải thi đấu Robot thế giới Học sinh Hà Nội tỏa sáng tại giải thi đấu Robot thế giới
Công bố Chỉ số năng lực cạnh tranh cấp tỉnh (PCI) và Chỉ số Xanh cấp tỉnh (PGI) Công bố Chỉ số năng lực cạnh tranh cấp tỉnh (PCI) và Chỉ số Xanh cấp tỉnh (PGI)
Cần làm rõ biện pháp kỹ thuật để bảo vệ dữ liệu cá nhân Cần làm rõ biện pháp kỹ thuật để bảo vệ dữ liệu cá nhân
Vietcombank đồng hành cùng sự kiện Chuyển đổi số ngành Ngân hàng năm 2024 Vietcombank đồng hành cùng sự kiện Chuyển đổi số ngành Ngân hàng năm 2024
Quảng Trị thiết lập Ban chỉ đạo cho Kỳ thi tốt nghiệp THPT 2024 Quảng Trị thiết lập Ban chỉ đạo cho Kỳ thi tốt nghiệp THPT 2024
SHB dành hơn 11 tỷ đồng thực hiện nhiều hoạt động xã hội tại tỉnh Điện Biên nhân kỷ niệm 70 năm chiến thắng Điện Biên Phủ SHB dành hơn 11 tỷ đồng thực hiện nhiều hoạt động xã hội tại tỉnh Điện Biên nhân kỷ niệm 70 năm chiến thắng Điện Biên Phủ
Hà Nội: Thí điểm quản lý thuế với hộ kinh doanh TMĐT Hà Nội: Thí điểm quản lý thuế với hộ kinh doanh TMĐT
Bị lừa 1 tỷ đồng vì đăng ký 'trại hè' qua mạng xã hội Bị lừa 1 tỷ đồng vì đăng ký 'trại hè' qua mạng xã hội
3 đặt hàng của Bộ Khoa học và Công nghệ cho Hội Tự động hóa Việt Nam 3 đặt hàng của Bộ Khoa học và Công nghệ cho Hội Tự động hóa Việt Nam
Tích cực thúc đẩy hơn nữa hợp tác giáo dục giữa Việt Nam và EU Tích cực thúc đẩy hơn nữa hợp tác giáo dục giữa Việt Nam và EU
Hà Nội: Từ 1/6, không dùng tiền mặt thanh toán phí, lệ phí TTHC bộ phận Hà Nội: Từ 1/6, không dùng tiền mặt thanh toán phí, lệ phí TTHC bộ phận "một cửa"
Hợp tác y tế Việt - Nhật, cơ hội chuyển giao các phương pháp y tế tiên tiến Hợp tác y tế Việt - Nhật, cơ hội chuyển giao các phương pháp y tế tiên tiến
Chất lượng dịch vụ bưu chính của các doanh nghiệp bưu chính năm 2023 Chất lượng dịch vụ bưu chính của các doanh nghiệp bưu chính năm 2023
Hơn 600 nhà sản xuất tham gia Triển lãm quốc tế Điện tử, Thiết bị thông minh Hơn 600 nhà sản xuất tham gia Triển lãm quốc tế Điện tử, Thiết bị thông minh