Android lại “dính” lỗ hổng bảo mật nghiêm trọng

Mai Phương Lý10:40 17/04/2014

Hãng bảo mật FireEye đã phát hiện một lỗ hổng bảo mật lớn trên hệ điều hành di động Google. Kẻ tấn công có thể lợi dụng lỗ hổng này để ăn cắp thông tin của người dùng.

Lỗi bảo mật lần này liên quan tới biểu tượng ứng dụng ở launcher của Android. Hacker có thể hướng người dùng tới một trang web độc, từ đó thu thập dữ liệu cá nhân của họ. Hiện chưa rõ đã có bất cứ ứng dụng nào lợi dụng sơ hở này để thực hiện hành vi phạm tội hay chưa. Google đã được thông báo về lỗi mới và đã đưa bản sửa lỗi cho các hãng điện thoại. Tuy nhiên, sẽ phải mất thời gian trước khi các thiết bị Android bị ảnh hưởng được vá lỗi.

“Rất nhiều hãng điện thoại Android rất chậm chạp trong việc vá lỗi bảo mật. Chúng tôi mong muốn các hãng thực hiện công việc này nhanh chóng hơn để bảo vệ người dùng của họ”, FireEye cho biết.

Video đang HOT

Để minh họa cho lỗi mới phát hiện, FireEye đã đưa ứng dụng của mình lên CH Play để chứng minh rằng bộ lọc của Google không thể ngăn các ứng dụng lừa đảo được đưa lên gian hàng online. Một khi được cài, ứng dụng này có thể sử dụng biểu tượng của một ứng dụng khác. Nạn nhân có thể là một ứng dụng ngân hàng qua di động. Điều này có thể dễ dàng đánh lừa người dùng, đưa họ đến một trang web độc và yêu cầu nhập thông tin nhạy cảm.

Ứng dụng độc của FireEye không yêu cầu bất cứ quyền (permission) bất thường nào. Hãng bảo mật này đã demo trên Nexus 7 chạy Android 4.4.2. Công ty cho biết lỗ hổng bảo mật kia có thể bị lợi dụng trên nhiều thiết bị, bao gồm cả những thiết bị không dùng launcher AOSP của Android. Cụ thể, công ty đã thử nghiệm trên Galaxy S4 chạy Android 4.3 với launcher TouchWiz, HTC One chạy Android 4.4.2 với launcher BlinkFeed và kể cả Nexus 7 với launcher của CyanogenMod 11 và… tất cả đều bị ứng dụng lừa đảo này qua mặt!

Theo BGR

VNCERT hướng dẫn cơ quan Nhà nước khắc phục hậu quả lỗ hổng Heartbleed

Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) vừa gửi công văn tới các Sở TT&TT, các đơn vị chuyên trách CNTT của Bộ, cơ quan ngang Bộ hướng dẫn cách khắc phục lỗ hổng Heartbleed của bộ thư viện mở OpenSSL.

Trong công văn đã nêu đích danh những phiên bản thư viện OpenSSL bị dính lỗ hổng Heartbleed là các phiên bản 1.0.1x bao gồm: 1.0.1, 1.0.1-beta1, 1.0.1-beta2, 1.0.1-beta3, 1.0.1a, 1.0.1b, 1.0.1c, 1.0.1d, 1.0.1e, 1.0.1f.

VNCERT cũng dẫn công bố của hãng Codenomicon về một số phiên bản hệ điều hành Linux có sử dụng các phiên bản OpenSSL bị lỗi cần cập nhật nâng cấp để đảm bảo an toàn khi sử dụng, gồm: Debian Wheezy (bản stable), Ubuntu 12.04.4 LTS, CentOS 6.5, Fedora 18, OpenBSD 5.3 và 5.4, FreeBSD 10.0, NetBSD 5.0.2, OpenSUSE 12.2.

Khai thác lỗ hổng HeartBleed, tin tặc có thể đánh cắp từ xa các dữ liệu nhạy cảm trong bộ nhớ. Ảnh minh họa. Ảnh: Internet.

VNCERT đánh giá đây là một trong những lỗi an toàn thông tin rất nghiêm trọng, phạm vi ảnh hưởng rộng, có khả năng gây mất thông tin trong nhiều ứng dụng tài chính, ngân hàng, thư điện tử... có sử dụng giao thức truyền tin siêu văn bản an toàn HTTPS sử dụng giao thức TLS của thư viện OpenSSL có lỗi để mã hóa dữ liệu trên đường truyền.

Theo khuyến cáo của VNCERT, muốn biết hệ thống có bị lỗi OpenSSL hay không, các cơ quan, tổ chức cần thực hiện lệnh "openssl version", sau đó đối chiếu phiên bản OpenSSL do hệ thống trả về với danh sách phiên bản OpenSSL có lỗi.

Cách tốt nhất để khắc phục lỗi an toàn thông tin đặc biệt nghiêm trọng nêu trên là nâng cấp thư viện OpenSSL lên phiên bản mới nhất (hiện tại là phiên bản 1.0.1g). Bên cạnh đó, để ngăn chặn tin tặc lợi dụng khai thác thông tin, có thể áp dụng biện pháp cập nhật cơ sở dữ liệu của các thiết bị IPS hoặc IDS để phát hiện và ngắt truy cập tấn công khai thác điểm yếu lỗ hổng.

Theo ICTnews

Nhà Trắng cho phép NSA khai thác lỗ hổng bảo mật Internet để thu thập tình báo Khi phát hiện một lỗ hổng bảo mật trên Internet, thay vì thông báo công khai ra cộng đồng để mọi người biết và phòng ngừa, Nhà Trắng lại cho phép Cơ quan An ninh Quốc gia (NSA) sử dụng và khai thác lỗ hổng bảo mật này cho các hoạt động tình báo. Theo một báo cáo vừa được tiết lộ bởi...

Bạn thấy bài viết này có hữu ích không?

Có

Không

Tin liên quan

Chủ đề: lỗ hổng bảo mật fireeye

Xem thêm Share

Xem nhiều

Gemini sắp có mặt trên các thiết bị sử dụng hằng ngày08:26

Tính năng tìm kiếm tệ nhất của Google sắp có trên YouTube09:14

Chiếc iPhone mới thú vị nhất vẫn sẽ được sản xuất tại Trung Quốc00:36

Điện thoại Samsung Galaxy S25 Edge lộ cấu hình và giá bán "chát"03:47

Pin nấm - bước đột phá của ngành năng lượng bền vững08:03

Câu chuyện thú vị về bài hát khiến Windows 'đứng hình'02:25

Lý do bất ngờ khiến Windows 7 khởi động chậm chạp06:56

Canh bạc AI của Apple nhằm 'hạ bệ' Samsung08:44

Các thương hiệu lớn Trung Quốc rủ nhau rời xa Android?08:38

Vì sao pin smartphone Android kém hơn sau khi cập nhật phần mềm02:20

Windows 11 chiếm bao nhiêu dung lượng ổ cứng?01:07

Tiêu điểm

Tin đang nóng

Tin mới nhất

Amazon kết hợp AI vào robot có khả năng cảm nhận

21:03:33 08/05/2025

Mặc dù có nhiều ý kiến cho rằng Amazon đầu tư vào robot nhằm thay thế công nhân, công ty khẳng định rằng robot như Vulcan chỉ nhằm làm cho kho hàng trở nên an toàn hơn, không phải để thay thế nhân lực.

Ứng dụng Torus vào quản trị năng lượng doanh nghiệp

20:57:38 08/05/2025

Trong hàng ngàn năm qua, các nền văn minh phương Đông đã phát triển hệ thống phong thủy trở thành một nghệ thuật, khoa học ứng dụng không gian và năng lượng để đạt được sự hài hòa giữa con người và môi trường sống.

OpenAI hỗ trợ các nước phát triển hạ tầng AI

15:10:28 08/05/2025

Các dự án sẽ được triển khai với sự tham gia đầu tư từ cả OpenAI và các nước đối tác nhằm mở rộng vai trò dẫn dắt toàn cầu của Mỹ trong lĩnh vực AI.

Hàng chục ngàn người đăng ký tham gia học kỹ năng an ninh mạng miễn phí

14:02:20 08/05/2025

Người dùng có thể tham gia bằng máy vi tính hoặc điện thoại thông minh bằng cách truy cập nCademy.vn và bấm nút "Tham gia" trong mục Cẩm nang an ninh mạng.

Apple sẽ đưa tìm kiếm AI của ChatGPT và Perplexity lên Safari, Google có nguy cơ mất thế độc tôn

13:59:53 08/05/2025

Eddy Cue cho biết số lượt tìm kiếm trên Safari đã giảm lần đầu tiên vào tháng 4 do người dùng ngày càng chuyển sang sử dụng AI. Cổ phiếu Apple giảm 1,1% khi chốt phiên 7.5.

iPhone 18 Pro Max sẽ có Face ID dưới màn hình

13:38:48 08/05/2025

Theo The Information, bộ đôi iPhone 18 Pro và iPhone 18 Pro Max sẽ trở thành những chiếc iPhone đầu tiên được trang bị Face ID ở phía dưới màn hình.

Google 'đá xoáy' thiết kế thanh camera của dòng iPhone 17

09:10:35 08/05/2025

Nắm bắt chi tiết này, Google đã nhanh chóng ám chỉ rằng Apple đang vay mượn ý tưởng thiết kế thanh camera đặc trưng đã xuất hiện từ lâu trên các dòng điện thoại Pixel.

Gmail sắp có thay đổi lớn về chuẩn bảo mật

09:00:52 08/05/2025

Google đã thông báo sẽ ngừng hỗ trợ hoàn toàn 3DES - một chuẩn mã hóa được xem là lỗi thời - cho tất cả kết nối SMTP đến trên Gmail kể từ ngày 30.5.2025.

Lỗ hổng bảo mật nghiêm trọng nhất trên thiết bị Galaxy sắp được sửa?

08:23:19 08/05/2025

Từ lâu, dù Samsung không công khai thừa nhận, cộng đồng người dùng đã phát hiện ra rằng một số ứng dụng và hình ảnh được cất giữ cẩn thận trong tính năng Secure Folder vẫn có khả năng bị nhìn thấy từ bên ngoài.

Tự chỉnh video, kể chuyện bằng... chip não Neuralink

08:20:53 08/05/2025

Chip não Neuralink của tỉ phú Elon Musk tiếp tục chứng minh khả năng hỗ trợ người bị khiếm khuyết chức năng cơ thể.

Google phát triển trợ lý AI Gemini phiên bản cho trẻ em

21:04:33 07/05/2025

Dù được định hình là phiên bản Gemini cho trẻ nhỏ, Google vẫn khuyến cáo về tính cần thiết của hoạt động kiểm soát từ phụ huynh, không thả nổi cho con toàn quyền sử dụng.

Liệu Apple Watch có ảnh hưởng đến thời lượng pin của iPhone

20:43:23 07/05/2025

Khi lấy iPhone ra và phát hiện pin đã cạn dù không sử dụng, người dùng có thể tự hỏi liệu chiếc Apple Watch mới có phải là nguyên nhân gây ra tình trạng này?