Cuộc tấn công MitM, được gọi là DoubleDirect, cho phép kẻ tấn công chuyển hướng lưu lượng truy cập của nạn nhân vào các trang web lớn như Google, Facebook và Twitter tới một thiết bị do kẻ tấn công kiểm soát. Sau khi thực hiện xong, kẻ gian trên mạng có thể đánh cắp dữ liệu cá nhân có giá trị của nạn nhân, chẳng hạn như ID email, thông tin đăng nhập và thông tin ngân hàng cũng như có thể gửi phần mềm độc hại đến thiết bị di động được nhắm mục tiêu.
Công ty bảo mật di động có trụ sở tại San Francisco Zimperi nêu chi tiết về mối đe dọa trong một bài đăng trên blog vào thứ Năm, tiết lộ rằng kỹ thuật DoubleDirect đang được những kẻ tấn công sử dụng trong các cuộc tấn công chống lại người dùng của những gã khổng lồ web bao gồm Google, Facebook, Hotmail, Live.com và Twitter, trên 31 quốc gia, bao gồm cả Hoa Kỳ , Vương quốc Anh và Canada.
DoubleDirect sử dụng ICMP (Giao thức thông báo điều khiển Internet) chuyển hướng các gói để thay đổi bảng định tuyến của máy chủ — được các bộ định tuyến sử dụng để thông báo cho một máy về tuyến đường tốt hơn cho một đích nhất định.
Ngoài các thiết bị iOS và Android, DoubleDirect cũng có khả năng nhắm mục tiêu người dùng Mac OSX. Tuy nhiên, người dùng Windows và Linux không bị tấn công vì hệ điều hành của họ không chấp nhận các gói chuyển hướng ICMP mang lưu lượng độc hại.
“Kẻ tấn công cũng có thể sử dụng các gói Chuyển hướng ICMP để thay đổi bảng định tuyến trên máy chủ nạn nhân, khiến lưu lượng truy cập đi qua một đường dẫn mạng tùy ý cho một IP cụ thể,” Zimperium cảnh báo.”Do đó, kẻ tấn công có thể khởi động một cuộc tấn công MitM, chuyển hướng lưu lượng truy cập của nạn nhân sang thiết bị của anh ta.“
“Sau khi được chuyển hướng, kẻ tấn công có thể xâm phạm thiết bị di động bằng cách xâu chuỗi cuộc tấn công bằng một lỗ hổng bổ sung Phía máy khách (ví dụ: lỗ hổng trình duyệt) và lần lượt cung cấp một cuộc tấn công với quyền truy cập vào mạng công ty.“
Công ty bảo mật đã thử nghiệm cuộc tấn công và nó hoạt động trên các phiên bản iOS mới nhất, bao gồm phiên bản 8.1.1; hầu hết các thiết bị Android, bao gồm Nexus 5 và Lollipop; và cả trên OS X Yosemite. Công ty cũng chỉ cho người dùng cách tắt thủ công Chuyển hướng ICMP trên máy Mac của họ để khắc phục sự cố.
“Zimperium đang phát hành thông tin này vào thời điểm này để nâng cao nhận thức vì một số nhà cung cấp hệ điều hành vẫn chưa thực hiện bảo vệ tại thời điểm này khỏi các cuộc tấn công Chuyển hướng ICMP vì có các cuộc tấn công ngoài tự nhiên,” bài đăng viết.
Công ty đã cung cấp đầy đủ Proof-of-Concept (PoC) cho DoubleDirect Attack, người dùng có thể tải xuống từ web. Nó cho thấy khả năng xảy ra một cuộc tấn công chuyển hướng ICMP song công hoàn toàn bằng cách dự đoán các địa chỉ IP mà nạn nhân cố gắng kết nối, bằng cách đánh hơi lưu lượng DNS của mục tiêu; bước tiếp theo bao gồm gửi gói chuyển hướng ICMP tới tất cả các địa chỉ IP.
