Điện thoại dual-mode (Wi-Fi và GSM/CDMA) và điện thoại Wi-Fi đã và đang được sử dụng rộng rãi ở nhiều nước trên thế giới. Đây là một thị trường còn mới và hứa hẹn nhiều tiềm năng cùng với sự phát triển mạng Wi-Fi nhanh như vũ bão ở Việt Nam. Bài viết này không chủ đích nói về những lợi ích mà giải pháp này mang lại, ngược lại bài viết muốn giới thiệu về những lỗ hổng bảo mật của những chiếc điện thoại dual-mode.

Để tận dụng những tiện ích về khả năng di động và tiết kiệm chi phí nhiều công ty đã sử dụng giải pháp điện thoại dual-mode mà cho phép chuyển giao giữa mạng Wi-Fi và mạng thông tin di động tế bào (xem hình minh họa 1). Bằng cách thiết lập một IP PBX nội bộ để quản lý và định tuyến các cuộc gọi sử dụng VoIP thay vì chỉ dùng mạng thông tin di động, công ty có thể tiết kiệm được đáng kể chi phí thoại và đồng thời cũng cải tiến tính năng di động cho nhân viên. Tuy nhiên, nhiều công ty chưa cảnh giác hết các hiểm họa bảo mật đến từ những chiếc điện thoại dual-mode này.

Hình 1: Mô hình công ty dùng giải pháp điện thoại dual-mode

Thực tế trong mấy năm qua đã có hàng ngàn lỗi bảo mật đã được phát hiện trong kiến trúc hạ tầng VoIP mà hầu hết chúng chưa được đề cập tới trong những giải pháp bảo mật thông tin truyền thống. Những điểm yếu bảo mật này có thể cho phép những kẻ tấn công (hacker) từ xa tiến hành các tấn công như đánh lừa (spoofing), từ chối dịch vụ DoS, khởi động máy lại ngoài ý muốn,... Gần đây trong hội nghị Black Hat 2007, một tấn công từ xa nhằm kiểm soát thiết bị, ăn cắp và xóa thông tin trên thiết bị dùng VoIP đã được trình diễn. Điều này cho thấy vấn đề bảo mật của những chiếc điện thoại dual-mode cần phải được các công ty quan tâm cái tiến trong tương lai.

Kiến trúc của điện thoại dual-mode

Điện thoại dual-mode thường sử dụng giao diện Wi-Fi (IEEE 802.11) và một giao diện mạng tế bào như GSM hay CDMA để truyền nhận thoại và dữ liệu. Trong khi đó điện thoại Wi-Fi chỉ có thể kết nối với điểm truy nhập Wi-Fi (AP-Access Point). Cả hai loại thiết bị này đều tự động dò tín hiệu Wi-Fi và kết nối với AP thông qua hồ sơ (profile) bảo mật đã được cấu hình sẵn. Hình 2 miêu tả một ví dụ chồng giao thức dùng trong thiết bị dual-mode.

Hình 2: Kiến trúc điện thoại dual-mode

Khi kết nối với AP, thiết bị sẽ được cung cấp một địa chỉ IP (thông thường bằng máy chủ DHCP). Bên cạnh chồng TCP/IP chuẩn, thiết bị còn được thiết kế một lớp giao thức cho phép thiết lập các cuộc gọi như giao thức tạo phiên SIP (Session Initiation Protocol), UMA (Unlicensed Mobile Access), H.323, hay SCCP (Cisco Skinny Call Control Protocol). Như vậy từ một thiết bị đóng trong mạng thông tin di động tế bào, thiết bị dual-mode trở nên mở đối với các phần mềm và kết nối Internet. Điều này mang lại nhiều lợi ích, song đồng thời cũng mang đến các hiểm họa bảo mật có thể đến từ môi trường Internet.

Các mối hiểm họa bảo mật

1. Điện thoại SIP luôn thể hiện như một máy chủ và luôn mở cổng UDP/TCP 5060 cho giao thức SIP để nhận cuộc gọi đến. Điều này làm cho SIP phone dễ dàng bị nhìn thấy như là một nút chủ động trong mạng con (subnet), ví dụ bằng cách sử dụng một công cụ đơn giản như SIPScan (http://hackingvoip.com). Một khi đã biết vị trí của SIP phone, hacker có thể tiến hành gửi các gói thông tin xảo quyệt trực tiếp đến thiết bị.

2. Cuộc gọi VoIP được thực hiện trên kết nối Wi-Fi có thể bị tấn công nếu như kết nối không dây không đủ độ an toàn hoặc nếu thiết bị dùng không có các thuật toán xác nhận thực và mã hóa đủ mạnh.

3. Giả mạo (spoofing): Thiết bị thường dùng UDP, hay đôi khi TCP, như là một giao thức vận tải tín hiệu SIP mà không cần xác nhận thực người gọi, do vậy có thể sẽ bị đối mặt với tình trạng giả mạo Caller ID. Kể tấn công có thể ẩn mình phía sau máy chủ SIP và giả mạo caller ID để thực hiện các tấn công phishing, ăn cắp ID của người dùng. Thêm vào đó hiện tại rất nhiều hộp thư thoại (voice mail) cho phép kết nối chỉ dựa vào Caller ID. Đây quả là một miếng mồi ngon!

4. Tấn công lặp lại (replay attack): Vì máy chủ SIP xác nhận người dùng dựa vào digest (kết quả thu được từ việc áp dụng hàm băm lên thông tin liên quan đến người dùng như username, password,…) nên nó sẽ có thể bị tấn công lặp lại. Kẻ tấn công sẽ dùng lại thông điệp SIP (trao đổi giữa máy chủ SIP với một người dùng SIP thật trong quá trình nhận thực) với những thông tin bảo mật của người dùng đó để có thể kết nối vào mạng. Hậu quả là những đăng ký của người dùng lưu trên máy chủ có thể bị thay đổi, xóa, và dẫn đến “từ chối dịch vụ” đối với người dùng thật.

5. Chuyển giao từ mạng Wi-Fi sang mạng tế bào: Bằng cách này, mạng tế bào không còn được an toàn như xưa nữa trước các mối nguy hiểm đến từ mạng Wi-Fi. Vì mức độ bảo mật trên Wi-Fi thường kém hơn bảo mật trên mạng tế bào: mạng Wi-Fi không có phương thức nhận thực hai chiều (mutual authentication). Do vậy, kẻ tấn công có thể tìm cách xâm nhập bằng kết nối vào mạng Wi-Fi, rồi sau đó thực hiện chuyển giao sang mạng tế bào và tấn công mạng tế bào. Ví dụ việc gây tràn bộ đệm (buffer) của một điện thoại dual-mode có thể sẽ được lợi dụng để chạy các đoạn mã độc để biến điện thoại thành một cổng mở để thâm nhập vào hệ thống mạng tế bào.

6. Bên cạnh các loại tấn công kể trên, một loại tấn công khác được khai thác không phải từ điểm yếu bảo mật thuần túy thiên về thuật toán mà thiên về các lỗi phân tích ngữ pháp (parsing) trong quá trình lập trình. Các lỗi này chủ yếu là do thiết bị không được kiểm tra kỹ càng và xác suất để một thiết bị có mặt trên thị trường mang trong mình các lỗi này là khá lớn. Chính vì cấu trúc thông điệp SIP là khá linh động (có thể chứa nhiều header, sub-header, chiều dài không cố định...) nên thật khó mà lập trình một cấu trúc thông điệp SIP một cách an toàn tuyệt đối. Sau đây là một số ví dụ tấn công dựa và các lỗi này.

- Khai thác lỗi không kiểm tra độ dài của thông điệp trước khi sao chép thông tin vào bộ nhớ trong, kẻ tấn công có thể lợi dụng để gửi một thông điệp ví dụ hình 3 để làm tràn bộ đệm. Bằng cách đó kẻ tấn công có thể kích hoạt các đoạn mã độc trên thiết bị. Lỗi này đã được ghi nhận với điện thoại Samsung i730 được cài đặt SJPhone SIP client. Bằng cách gửi thông điệp nói trên, kẻ tấn công sẽ khiến dịch vụ thoại ngừng hoạt động trong vòng 10s. Nếu cứ mỗi 9s, thiết bị lại bị nhận một thông điệp như thế, điều đó đồng nghĩa với việc thiết bị bị tấn công từ chối dịch vụ.

Hình 3: Thông điệp SIP INVITE đế tấn công tràn bộ đệm

- HTC HyTN cài đặt AGEPhone lại bị tấn công bởi các thông điệp SIP có chứa các delimiter (các dấu phân cách như '\r\n', ':', để phân cách các trường trong một thông điệp) độc hại. Thông điệp chứa delimiter độc hại được thể hiện ở hình 4. Hậu quả là khi nhận được thông điệp như trên, điện thoại sẽ bị treo, cuộc gọi bị gián đoạn và cần phải khởi động lại máy.

Hình 4: Thông điệp SIP INVITE với lỗi delimiter

- Blackberry 7270 dường như bị nhiều lỗi nhất trong cuộc thử nghiệm này. Đầu tiên nó bị tấn công bằng cách gửi thông điệp SIP trong đó chứa nhiều ký tự ’%s’, ký tự khiến chương trình phải đọc và viết chuỗi dữ liệu ở một vùng bộ nhớ không cho phép dẫn đến lỗi chương trình (xem hình 5). Ngoài ra Blackberry 7270 có thể chấp nhận thông điệp INVITE từ những nguồn chưa được chứng nhận thực. Ở Blackberry 7270 các thông điệp INVITE mở này không được xóa một cách nhanh chóng mà thường được duy trì trong vòng vài giây. Nếu kẻ tấn công gửi một lượng lớn thông điệp INVITE này, dễ hiểu là năng lượng và tài nguyên của thiết bị sẽ nhanh chóng bị cạn kiệt.

Hình 5: Thông điệp SIP INVITE với lỗi định dạng chuỗi (string format)

Theo một phân tích của Sipera Viper Lab về tính bảo mật của các điện thoại dual-mode trên thị trường đối với các tấn công khác nhau. Ngoài 3 thiết bị kể trên, 2 thiết bị khác là Dell Axim dùng SJPhone và D-link DPH 541 cũng bị dính các lỗi bảo mật kể trên.

Làm thế nào để tự bảo vệ mình?

Đến đây chúng ta đã biết những điểm yếu bảo mật đã được phát hiện với loại hình điện thoại dual-mode và cả điện thoại Wi-Fi. Để triển khai tốt và an toàn giải pháp điện thoại dual mode, các công ty phải sử dụng hệ thống tường lửa khi mà người dùng ở ngoài phạm vi của công ty. Bên cạnh việc mật mã hóa các tín hiệu báo hiệu (signaling) cũng như thông tin trao đổi, bên cạnh việc tiến hành xác nhận thực điện thoại và người dùng, công ty không những phải sử dụng một cách hiệu quả các chức năng của tường lửa mà còn phải có khả năng khóa ngăn cản sự thâm nhập của những thiết bị "giả mạo" cũng như người dùng không được phép. Một hệ thống tốt phải có khả năng phát hiện ra được những bất thường trong quá trình vận hành của nó.

Một công ty đã hay có ý định sử dụng giải pháp VoIP cũng như điện thoại dual-mode cần phải tăng cường bảo mật bằng cách:

• Thường xuyên update những patch bảo mật mới.
• Sử dụng các phương thức nhận thực và mã hóa đủ mạnh.
• Thiết lập khóa truy nhập hay tăng tính bảo mật cho các AP Wi-Fi
• Sử dụng mạng cục bộ ảo VLAN để tách biệt thông tin thoại và dữ liệu. Dĩ nhiên cũng phải kiểm soát các cầu nối giữa các mạng VLAN.
• Sử dụng các kỹ thuật phát hiện xâm nhập và bảo vệ hệ thống VoIP.
• Áp dụng chính sách riêng biệt khi người dùng ở ngoài phạm vi công ty và ở trong công ty.

TS. Lê Thanh Hà

Đại học Luxembourg, thanhha.le{@}uni.lu

Tài liệu tham khảo
1. S. Joglaker, “Whiter Paper on on Velnerabilities in Dual-mode/Wi-Fi Phones”, Black Hat Briefings 2007, Las Vegas
2. K. Kurapati, “Protecting Dual-Mode/Wi-Fi Users from Attack”, Unified Communication Magazine, Sept. 2007.