Mạng Wi-Fi tại nhà của bạn có thể đang gặp rủi ro nghiêm trọng ngay lúc này, đặc biệt nếu bạn đang sử dụng bộ định tuyến (router) có logo hoặc nút bấm Wi-Fi Protected Setup (WPS). Tính năng này, được thiết kế gần hai thập kỷ trước nhằm đơn giản hóa việc ghép nối router với các thiết bị Wi-Fi như máy in, lại ẩn chứa những lỗ hổng bảo mật nghiêm trọng. Chúng biến WPS thành một lời mời công khai cho tin tặc hoặc bất kỳ ai muốn truy cập trái phép vào mạng gia đình của bạn.
Nếu router của bạn có logo hoặc nút WPS, điều quan trọng là phải tìm hướng dẫn sử dụng trực tuyến và thực hiện các bước để vô hiệu hóa tính năng này. Đây là hành động cần thiết để giữ an toàn cho mạng của bạn trước các mối đe dọa tiềm ẩn.
WPS ra đời với ý tưởng thay thế việc nhập mật khẩu phức tạp để ghép nối thiết bị, bởi thực tế là nhiều người gặp khó khăn trong việc tạo mật khẩu mạnh và việc nhập chúng vào các thiết bị như máy in thường rất bất tiện. Một ý tưởng hay về mặt lý thuyết, nhưng các nhà thiết kế đã đánh đổi bảo mật lấy sự tiện lợi và tệ hơn là không trang bị bất kỳ cơ chế kiểm tra bảo mật hay bảo vệ nào chống lại các cuộc tấn công vét cạn (brute-force). Hậu quả là WPS nhanh chóng bị tấn công, các công cụ khai thác lỗ hổng đã được tạo ra chỉ trong vài phút, buộc ngành công nghiệp mạng phải chuyển sang các phương pháp bảo mật Wi-Fi khác.
4 Lý Do WPS Không An Toàn và Đáng Lo Ngại Cho Mạng Wi-Fi Của Bạn
WPS không chỉ đơn thuần là một tính năng tiện lợi mà còn là một mắt xích yếu trong hệ thống bảo mật mạng của bạn. Dưới đây là những lý do cốt lõi giải thích tại sao bạn nên vô hiệu hóa nó ngay lập tức.
1. Đánh Đổi Tiện Lợi Lấy An Toàn: Lỗ Hổng Cơ Bản Của WPS
Bất kỳ tính năng nào ưu tiên tiện lợi hơn bảo mật đều không có chỗ đứng trong mạng gia đình của bạn. Trong khi các giải pháp bảo mật hiện đại như Face ID, trình quản lý mật khẩu hay Passkeys đều cân bằng tốt giữa sự tiện lợi và an toàn, thì Wi-Fi Protected Setup (WPS) lại không làm được điều đó. Mặc dù tên gọi có thể khiến bạn tin WPS an toàn, thực tế lại ngược lại hoàn toàn. Mức độ bảo mật của WPS còn thấp hơn cả việc sử dụng Bluetooth trên điện thoại để tự động mở khóa cửa nhà bạn, vì ngay cả cách đó cũng đòi hỏi kẻ tấn công phải có thiết bị vật lý của bạn.
WPS không yêu cầu truy cập vật lý vào bộ định tuyến để bị tấn công (mặc dù đó cũng là một lựa chọn cho kẻ tấn công). Bất kỳ bộ định tuyến nào bật WPS cũng đều có một nút nhấn ảo xuất hiện trong Windows khi bạn cố gắng kết nối với mạng Wi-Fi. Nhấn nút vật lý hoặc nút ảo này đều kích hoạt quá trình nhập mã PIN. Với mã PIN chỉ có tám chữ số, nó có thể dễ dàng bị tấn công vét cạn trong một khoảng thời gian rất ngắn.
Hai bộ định tuyến Wi-Fi hiện đại TP-Link Archer BE800 (Wi-Fi 7) và Archer AXE300, tượng trưng cho những lựa chọn router mới hơn không còn phụ thuộc vào WPS để đảm bảo an ninh mạng gia đình.
2. Dễ Dàng Bị Tấn Công Brute-Force: Mối Nguy Từ Mã PIN
WPS dễ dàng bị tấn công vét cạn và các công cụ để thực hiện điều này cũng có sẵn rộng rãi. Vào năm 2011, hai nhà nghiên cứu bảo mật độc lập đã phát hiện ra rằng mã PIN được WPS sử dụng có thể bị tấn công vét cạn trong một thời gian rất ngắn. Trong khi mật khẩu Wi-Fi có thể dài 20 ký tự hoặc hơn, mã PIN của WPS chỉ có tám chữ số và hoàn toàn là số. Một trong số các chữ số đó là mã kiểm tra (checksum) cho PIN, vì vậy thực chất chỉ có bảy số. Nhưng do cách WPS hoạt động, bảy số này được chia thành hai nửa: một số có bốn chữ số và một số có ba chữ số.
Để tình hình tệ hơn, router sẽ gửi tin nhắn EAP-NACK trở lại máy khách sau mỗi lần thử, cho kẻ tấn công biết liệu bốn chữ số đầu tiên có đúng hay không. Một khi bốn chữ số này được xác định, ba chữ số còn lại có thể nhanh chóng bị tấn công vét cạn, và tổng số lần thử để đảm bảo thành công chỉ là 11.000 lần. Vào thời điểm đó, con số này dễ dàng được xử lý trong chưa đầy một giờ, và WPS thậm chí không có bất kỳ cơ chế giới hạn tốc độ (rate limiting) nào để ngăn chặn một cuộc tấn công vét cạn như vậy.
Không chỉ vậy, cả hai nhà nghiên cứu bảo mật đã phát hành các công cụ thực hiện tấn công vét cạn tự động. Điều này có nghĩa là kẻ tấn công chỉ cần nhấn một nút và chờ đợi. Thành công là điều được đảm bảo, đó là lý do tại sao bạn nên tắt WPS ngay bây giờ. Thật sự, hãy tắt nó ngay lập tức.
Một chiếc máy chơi game PlayStation 3, ví dụ về một thiết bị điện tử có thể bị ảnh hưởng bởi các lỗ hổng bảo mật nếu kết nối qua mạng Wi-Fi kém an toàn như WPS.
3. Ai Có Quyền Truy Cập Vật Lý Đều Có Thể Vô Hiệu Hóa Bảo Mật Mạng
Khi bạn có một bộ định tuyến đã bật WPS, bạn không có bất kỳ sự bảo mật vật lý nào cho mạng gia đình nếu có người lạ trong nhà bạn. Đó có thể là một người bạn, thành viên gia đình, hoặc ai đó giả vờ là nhân viên bảo trì. Nhưng sự thật hiển nhiên là nếu họ có thể tiếp cận router của bạn, họ có thể truy cập vào mạng Wi-Fi của bạn, và điều đó có nghĩa là bất kỳ lưu lượng mạng hay thiết bị mạng nào của bạn đều có nguy cơ.
Chỉ mất vài giây để nhấn nút WPS và kết nối bất kỳ thiết bị hỗ trợ WPS nào vào mạng. Ngay cả khi họ không có thời gian để làm điều đó, mã PIN để kết nối với router thường được in trên một nhãn dán trên thiết bị. Điều này cho phép họ dễ dàng lấy thông tin chi tiết cần thiết và quay lại sau để kết nối từ bên ngoài.
Thông báo "1 Risk Found" từ tính năng HomeShield trong ứng dụng TP-Link Tether, nhấn mạnh sự cần thiết của việc quét và khắc phục các rủi ro bảo mật tiềm ẩn trên mạng gia đình, đặc biệt là các lỗ hổng như WPS.
4. Khả Năng Tương Thích Giảm Dần: Vì Sao Các Nền Tảng Lớn Từ Bỏ WPS?
Số lượng thiết bị hỗ trợ ghép nối WPS đang giảm dần, và ngay từ đầu, nó chưa bao giờ có sự hỗ trợ rộng rãi đến vậy. Sử dụng WPS trên các thiết bị như máy in mạng với giao diện rất đơn giản, nơi việc nhập mật khẩu Wi-Fi dài là phức tạp, có thể có lý. Nhưng đối với điện thoại, máy tính và các thiết bị khác có phương thức nhập liệu dễ dàng, WPS không phải là lựa chọn lý tưởng.
Apple chưa bao giờ thực sự hỗ trợ WPS, cả phương pháp nút nhấn lẫn mã PIN. Tuy nhiên, lý do không hẳn là vì lỗ hổng bảo mật mà bạn có thể nghĩ. Mặc dù WPS không an toàn, nhưng theo Phil Kearney (cha đẻ của AirPort Extreme, AirPort Express và Time Capsule), lý do của Apple là trải nghiệm người dùng không đạt tiêu chuẩn của họ. Ông đã thiết kế một cách khác để thực hiện WPS, theo đó sẽ cảnh báo quản trị viên hệ thống về một thiết bị đang cố gắng kết nối và cho phép họ chấp nhận hoặc từ chối kết nối đó. Cách này hợp lý hơn nhiều, đồng thời mang lại cho người dùng quyền kiểm soát và khả năng hiển thị rõ ràng về những gì đang diễn ra.
Google cuối cùng đã loại bỏ hỗ trợ WPS khỏi Android vào năm 2019, thay thế bằng Wi-Fi Easy Connect. Windows 11 không hỗ trợ phương pháp PIN, nhưng sẽ sử dụng phương pháp nút nhấn nếu phát hiện WPS có sẵn trên mạng. Tuy nhiên, vì Windows cũng cho kẻ tấn công biết WPS có sẵn, mạng của bạn trên thực tế đang nói rằng “cửa trước đang mở”.
Một chiếc iPhone 15 Pro Max trong tay, minh họa một trong nhiều thiết bị di động hiện đại không còn cần hoặc hỗ trợ tính năng WPS rủi ro để kết nối Wi-Fi.
Kết Luận: Đã Đến Lúc Vô Hiệu Hóa WPS Hoặc Nâng Cấp Router Của Bạn
Đừng nhầm lẫn — WPS vốn dĩ đã không an toàn ngay từ khi ra đời. Các nhà thiết kế đã quá ưu tiên sự lười biếng và tiện lợi thay vì bảo mật, tạo ra một lỗ hổng Wi-Fi mà bất kỳ ai cũng có thể truy cập nếu có một chút thời gian. Mặc dù nhiều lỗ hổng bảo mật mạng có thể được vá lỗi, cách duy nhất để vá WPS an toàn là loại bỏ hoàn toàn nó khỏi bộ định tuyến của bạn.
Nếu bạn có một bộ định tuyến với nút WPS, hãy truy cập vào trang quản trị và vô hiệu hóa tính năng này. Tốt hơn nữa, hãy mua một bộ định tuyến mới, tốt hơn không còn WPS trong danh sách thông số kỹ thuật, bởi đó là cách duy nhất để đảm bảo hoàn toàn rằng tính năng này không được bật. Hành động ngay hôm nay để bảo vệ mạng gia đình của bạn khỏi những mối đe dọa không đáng có.
Một bộ định tuyến Wi-Fi đang hoạt động với các đèn báo bật sáng trong một ngôi nhà, nhắc nhở người dùng kiểm tra và vô hiệu hóa WPS để bảo vệ mạng gia đình của mình.
Tài liệu tham khảo:
- NordPass Report: Awful Secure Passwords
- Wi-Fi Protected Setup PIN Brute Force Vulnerability (sviehb.wordpress.com)
- Vulnerability Note VU#723755 – Wi-Fi Protected Setup (WPS) PIN brute force vulnerability (kb.cert.org)
- Brute Force Attacks Explained: How All Encryption Is Vulnerable (howtogeek.com)
- Can I use a push-button WPS Wi-Fi setup with the iPhone/iPad? (Quora, Phil Kearney)
- WPS disappeared from Android P (xda-developers.com)