Bài luận văn đánh giá các ứng dụng “K-bảo mật” bắt buộc phải cài đặt

Những ai đã ghé nơi này từ trước có lẽ từng đọc bài giới thiệu về K-bảo mật của Wladimir Palant mà tôi đã đăng ở đây vào đầu năm 2023.

• Thực trạng bảo mật trực tuyến của Hàn Quốc đã đi vào ngõ cụt
• Bản dịch tiếng Hàn không chính thức của loạt bài đó

Liên quan đến việc này, gần đây giới học thuật an ninh bảo mật tại Hàn Quốc đã công bố một bài luận văn cùng video trình diễn mô phỏng tấn công để bổ sung cho nội dung nói trên.
Nội dung này được cho là sẽ được trình bày tại Hội nghị chuyên đề USENIX Security lần thứ 34, diễn ra vào tháng 8 tới tại Seattle, Mỹ.

• Too Much of a Good Thing: (In-)Security of Mandatory Security Software for Financial Services in South Korea

• Thông cáo báo chí của KAIST về bài luận văn trên

• Video PoC đánh cắp mật khẩu bằng cách chặn ghi bàn phím người dùng thông qua việc lạm dụng ứng dụng K-bảo mật

• Video PoC cài mã độc vào PC của người dùng truy cập một trang web cụ thể thông qua việc lạm dụng ứng dụng K-bảo mật

• Bài viết của ZDNet Korea đưa tin về nội dung của bài luận văn trên

• Video của white hacker Normaltic giải thích nội dung của bài luận văn trên

Trong bài luận văn này, các ứng dụng K-bảo mật (Korea Security Applications) được viết tắt là “KSA”, trong đó thời kỳ vận hành dựa trên ActiveX được gọi là v1.0, còn giai đoạn sau năm 2015 khi chuyển sang nền tảng exe được gọi là v2.0.

Về cơ bản, kết luận rằng chính cấu trúc ép buộc cài các “chương trình bảo mật” này lên PC người dùng lại dễ tổn thương về mặt an ninh, và dù vậy cũng không dễ xóa bỏ ngay vì các vấn đề mang tính cấu trúc, thì không khác mấy so với loạt bài của Wladimir Palant.

Nếu nêu ra một vài điểm khác biệt, trước hết là trong bài của Wladimir Palant, đối tượng được xem xét chủ yếu là các ứng dụng cài khi dùng ngân hàng, còn bài luận văn này đã mở rộng phạm vi phân tích sang cả các ứng dụng buộc phải cài khi làm việc với một số cơ quan công. Trong luận văn, tổng cộng có 7 ứng dụng được xem xét. Dù sao thì các loại ứng dụng K-bảo mật cũng thường na ná nhau, nên tuy tên công ty và sản phẩm đã bị che đi, những ai quen thuộc có lẽ vẫn có thể đoán được đại khái là gì. Tóm lại, có vẻ họ đã thử đủ thứ: tìm ra nhiều lỗ hổng, thực hiện keylogging, thử remote code execution, tìm lỗ hổng bộ nhớ bằng fuzzing, và cả man-in-the-middle attack.

Một điểm đáng chú ý khác là họ đã tiến hành khảo sát trực tuyến với người dùng. Kết quả cho thấy hầu như không có ai trong môi trường trực tuyến Hàn Quốc là chưa từng gặp K-bảo mật, nhưng khoảng 60% người dùng cài các ứng dụng này thực ra không hề biết cụ thể chúng dùng để làm gì mà chỉ cài theo yêu cầu.

Tiến thêm một bước nữa, họ còn tuyển người tham gia để khảo sát xem trên các PC mà chủ yếu người trẻ ở độ tuổi 20 sử dụng thực tế đã cài bao nhiêu ứng dụng K-bảo mật, thông qua Hoax Eliminator v7.25. Kết quả là trung bình có khoảng 9 ứng dụng K-bảo mật được cài đặt, trong đó khoảng 4 ứng dụng nằm trong phạm vi nghiên cứu lần này. Thậm chí có PC của một người tham gia bị phát hiện tới 24 ứng dụng. Ở hơn một nửa số người tham gia, các ứng dụng được cài là phiên bản đã quá 2 năm, và trên PC của một số người còn xác nhận được cả những phiên bản đã cũ tới 5 năm tính từ thời điểm nghiên cứu.

Dù sao thì việc có những người công khai các công cụ hữu ích như Tablecloth Project hay Hoax Eliminator thực sự là điều rất đáng cảm ơn, nhưng về gốc rễ thì tốt nhất là ngay từ đầu không nên có lúc nào cần đến những công cụ như vậy.

Loạt bài phân tích ứng dụng K-bảo mật của Wladimir Palant được công bố vào đầu năm 2023, và sau đó người ta cũng biết rằng Triều Tiên đã dùng chính các ứng dụng K-bảo mật này làm đường trung gian để tấn công, nhưng thực tế đến nay vẫn chưa cảm nhận được thay đổi mang tính căn bản nào. Mong rằng từ bây giờ sẽ có những thay đổi rõ rệt hơn.