Kỹ sư Việt ‘vá’ lỗ hổng bảo mật, thắng lớn tại cuộc thi hàng đầu thế giới

Anh Vũ18:59 15/12/2022

Nhóm kỹ sư Việt đã khai thác lỗ hổng và giành giải bảo mật hơn 80.000 USD tại Pwn2Own – một trong những cuộc thi bảo mật lâu đời và lớn nhất thế giới .

Đội “Team Viettel” đến từ Việt Nam đứng thứ hai bảng xếp hạng của Pwn2Own (Ảnh chụp màn hình).

Pwn2Own là một trong những cuộc thi bảo mật lâu đời và lớn nhất thế giới, được Zero Day Initiative tổ chức thường niên từ 2007. Chủ đề trong đợt thi lần này là tìm lỗ hổng trong thiết bị thông minh, nhắm đến các mục tiêu được sử dụng thường xuyên trong nhà hoặc văn phòng như điện thoại di động, bộ định tuyến không dây, máy in, loa thông minh.

Trong bốn ngày, mỗi ngày đội đến từ Việt Nam đều khai thác được từ 1 đến 2 lỗ hổng. Tổng cộng có 5 lỗ hổng được nhóm khai thác, nhắm vào các mục tiêu gồm: máy in Canon , HP, bộ định tuyến TP-Link, Cisco và thiết bị lưu trữ mạng Western Digital.

Năm nay, Pwn2Own có thêm hạng mục SOHO Mashup, mô phỏng lại cuộc tấn công trong một văn phòng nhỏ với hàng loạt thiết bị thông minh kết nối mạng. Thí sinh sẽ phải tấn công vào bộ định tuyến, sau đó nhắm mục tiêu đến các thiết bị tiếp theo trong mạng LAN. Ở phần này, đội thi đến từ Việt Nam đã khai thác thành công lỗ hổng trên router Cisco và máy in Canon. Đây cũng là kết quả cao nhất mà nhóm đạt được trong đợt thi, giúp mang về 7,5 điểm và 37,5 nghìn USD giải thưởng.

Video đang HOT

Được biết, nhóm có 11 người, trong đó có 8 thành viên trẻ, sinh từ 1995 đến 2000. Nhiều người lần đầu tham dự cuộc thi bảo mật tầm cỡ thế giới, nhưng đã có thành tích cạnh tranh với các chuyên gia có tiếng như Star Labs, DevCore.

Ngoài TeamViettel, một đội thi khác là Qrious Secure cũng có thành viên đến từ Việt Nam, gồm Toan Pham and Tri Dang, theo website cuộc thi. Tuy đạt 10,25 điểm và đứng top 5, đội giành gần 90.000 USD tiền thưởng, trong đó riêng lỗ hổng tấn công hệ thống loa Sonos One giúp đội thu về tới 60.000 USD. Ngoài ra, một số thí sinh tham gia cá nhân, như Chi Tran, AnhtuD, Le Tran Hai Tung, đều giành 10.000 USD sau khi khai thác thành công lỗ hổng từ máy in Canon.

Pwn2Own 2022 có 36 đội thi từ 14 quốc gia và vùng lãnh thổ, trong đó có nhiều đội mạnh về bảo mật như Đài Loan, Singapore, Mỹ, Đức, Israel, Hàn Quốc, Ấn Độ,… Sau bốn ngày, cuộc thi tìm ra 63 lỗ hổng zero-day và 989.000 USD giải thưởng được trao.

3 ứng dụng bạn nên xóa nếu không muốn điện thoại bị tấn công từ xa

Theo các nhà nghiên cứu, nhiều lỗ hổng bảo mật vừa được phát hiện bên trong 3 ứng dụng Android, khiến điện thoại bị tấn công từ xa.

Các ứng dụng được đề cập bao gồm Lazy Mouse, PC Keyboard và Telepad. Trước khi bị xóa khỏi cửa hàng Google Play, chúng đã được tải xuống hơn 2 triệu lần, mặc dù vậy các ứng dụng vẫn tồn tại trên trang web riêng của nhà phát triển.

- Lazy Mouse (com.ahmedaay.lazymouse2 và com.ahmedaay.lazymousepro)

- PC Keyboard (com.beapps.pckeyboard)

- Telepad (com.pinchtools.telepad)

Theo Trung tâm Nghiên cứu An ninh mạng Synopsys (CyRC), các ứng dụng này được quảng cáo giúp biến điện thoại thông minh thành bàn phím và chuột không dây cho máy tính. Tuy nhiên, các nhà nghiên cứu đã tìm thấy tới 7 lỗ hổng liên quan đến tính năng xác thực, thiếu ủy quyền và giao tiếp không an toàn.

7 lỗ hổng từ CVE-2022-45477 đến CVE-2022-45483 có thể bị kẻ gian lợi dụng để thực hiện các lệnh lừa đảo, thu thập thông tin người dùng nhạy cảm từ xa.

Điều đáng chú ý là không có ứng dụng nào nhận được bất kỳ bản cập nhật nào trong hơn 2 năm, điều này đồng nghĩa với việc bạn chỉ có thể xóa ứng dụng ngay lập tức để tránh bị tấn công.

"3 ứng dụng này được sử dụng rộng rãi nhưng chúng không được duy trì cũng như không được hỗ trợ, và rõ ràng, bảo mật không phải là một yếu tố được quan tâm khi các ứng dụng này được phát triển", nhà nghiên cứu bảo mật Mohammed Alshehri của Synopsys cho biết.

Để xóa 3 ứng dụng kể trên (nếu bạn đã lỡ cài đặt trước đó), bạn hãy truy cập vào Settings (cài đặt) - Apps (ứng dụng) - Manage apps (quản lý ứng dụng), tìm tên 3 ứng dụng và nhấn Uninstall (gỡ cài đặt).

Trước đó không lâu, các nhà nghiên cứu bảo mật tại Zimperium đã phát hiện ra một chiến dịch phần mềm độc hại được tiến hành từ năm 2018, khiến hơn 300.000 người có nguy cơ bị mất Facebook.

Theo báo cáo, phần mềm độc hại đã giả mạo là ứng dụng giáo dục Schoolyard Bully hoặc đọc truyện, lây nhiễm cho hàng trăm ngàn thiết bị ở 71 quốc gia, chủ yếu tập trung tại Việt Nam.

Con số này chỉ là ước tính ban đầu, bởi lẽ còn đến 37 ứng dụng nằm trong chiến dịch lần này được phân phối thông qua các cửa hàng của bên thứ ba, do đó, số lượng nạn nhân sẽ cao hơn thực tế khá nhiều.

Những người đứng sau Schoolyard Bully vẫn chưa được tiết lộ, tuy nhiên, các nhà phân tích cho rằng phần mềm độc hại được phát hiện lần này không liên quan đến FlyTrap, một loại Trojan được thiết kế đánh cắp tài khoản Facebook chủ yếu tại Việt Nam.

Hy vọng với những thông tin mà Kỷ Nguyên Số vừa cung cấp, bạn đọc sẽ biết cách gỡ cài đặt ứng dụng Lazy Mouse, PC Keyboard và Telepad, hạn chế tình trạng bị tấn công từ xa trong tương lai.

Cảnh báo hàng loạt lỗ hổng bảo mật nghiêm trọng trong các sản phẩm của Microsoft Nhiều lỗ hổng bảo mật có mức độ ảnh hưởng cao và nghiêm trọng, trong đó có những lỗ hổng đang bị khai thác trong thực tế. Do đó, các đơn vị, doanh nghiệp cần kiểm tra, rà soát, xác định máy sử dụng hệ điều hành Windows có khả năng bị ảnh hưởng, cập nhật bản vá kịp thời để tránh nguy...

Bạn thấy bài viết này có hữu ích không?

Có

Không

Tin liên quan

Xem thêm Share

Xem nhiều

One UI 7 đến với dòng Galaxy S2103:50

Google tích hợp AI vào công cụ tìm kiếm, trình duyệt web Chrome...01:38

Điều gì xảy ra nếu Google không còn mặc định trên iPhone?08:38

Các thiết bị Xiaomi sắp được cập nhật lên HyperOS 2.201:22

Tiêu điểm

Tin đang nóng

Tin mới nhất

Ứng dụng AI trong cơ sở y tế để hợp nhất dữ liệu

15:45:03 24/05/2025

Schneider Electric, tập đoàn dẫn đầu toàn cầu về chuyển đổi số quản lý năng lượng và tự động hóa, đã triển khai các giải pháp như vậy trong nhiều bệnh viện trên toàn thế giới.

Google đối mặt với điều tra chống độc quyền về thỏa thuận với Character.AI

15:43:29 24/05/2025

Trong một thỏa thuận với Google vào năm ngoái, những người sáng lập của nhà sản xuất chatbot đã gia nhập công ty tìm kiếm. Google cũng đã nhận được giấy phép không độc quyền để sử dụng công nghệ của liên doanh này.

Robot điểm danh sáng tạo của những người trẻ không ngừng học hỏi

15:34:09 24/05/2025

Hệ thống sẽ đồng thời chụp lại hình ảnh và đối chiếu với dữ liệu để xác thực. Chức năng điểm danh cũng tích hợp với chức năng dẫn đường. Khi điểm danh xong, nếu người dùng cần đi đến khu vực hay phòng nào, robot sẽ hỗ trợ dẫn đường , Dư...

Bigo Live ra mắt chiến dịch Spot On 2025 nhằm tìm kiếm những ngôi sao tương lai của Việt Nam

16:50:51 23/05/2025

Bigo Live, nền tảng livestream hàng đầu thế giới, đã khởi động cuộc thi tìm kiếm tài năng toàn quốc mang tên Spot On 2025 nhằm tìm ra thế hệ ngôi sao diễn xuất tiếp theo của Việt Nam, với đêm chung kết sẽ diễn ra vào ngày 26 tháng 6

Người dùng điện thoại Android sắp được "lột xác" giao diện

16:36:14 23/05/2025

Dự kiến người dùng điện thoại khi được nâng cấp lên phiên bản Android 16 sẽ nhận được sự hỗ trợ của trí tuệ nhân tạo trong nhiều tác vụ và giao diện hoàn toàn khác lạ.

Google Chrome sẽ tự động thay đổi mật khẩu khi phát hiện xâm phạm

09:19:07 23/05/2025

Tin vui cho người dùng Google Chrome khi gã khổng lồ công nghệ Mỹ vừa chính thức trình làng một tính năng đột phá cho trình quản lý mật khẩu tích hợp.

Computex 2025: Tin vui cho người dùng chuẩn bị nâng cấp laptop AI

09:08:27 23/05/2025

Theo báo cáo từ công ty nghiên cứu Counterpoint Research, doanh số máy tính trên toàn cầu đã đạt mức 253 triệu thiết bị trong năm 2024, tăng 2,6% so với năm 2023.

Google đưa tính năng giá trị vào trình duyệt Chrome

13:16:24 22/05/2025

Google vừa công bố tính năng mới cho trình duyệt Chrome với khả năng tự thay đổi mật khẩu yếu hoặc bị xâm phạm thành mật khẩu mạnh mẽ và độc đáo.

iOS 18.4 ẩn chứa một chi tiết ít người chú ý

13:11:10 22/05/2025

Apple đã bí mật mang đến iOS 18.4 mà hãng phát hành cách nay không lâu một tính năng mới mà không phải ai cũng dễ dàng nhận ra.

Tin tức giả về One UI 8 tràn lan trên web

13:06:19 22/05/2025

Người hâm mộ Samsung đang háo hức chờ đợi One UI 8, bản cập nhật dựa trên Android 16 mà Samsung sẽ triển khai trong tương lai.

Hướng dẫn cách liên kết WhatsApp với Facebook nhanh chóng

12:10:41 22/05/2025

Trên đây là hướng dẫn cách kết nối WhatsApp với Facebook để bạn dễ dàng đồng bộ dữ liệu, tăng cường tương tác và khai thác tối đa tiện ích từ hai nền tảng.

6 cách giúp tăng tốc độ điểm phát sóng di động

11:12:33 22/05/2025

Hãy áp dụng những mẹo sau nếu bạn chia sẻ điểm phát sóng di động (điểm truy cập cá nhân) nhưng gặp tình trạng tốc độ như rùa bò .

Có thể bạn quan tâm

Sao nam Vbiz kết hôn bí mật với bạn gái ngoài ngành, đáp trả căng đét tin đồn lấy vợ để che đậy giới tính

Sao việt

19:34:13 25/05/2025

Sau khi đám cưới của Nam Cường được truyền thông đưa tin, nam ca sĩ lại vướng phải nghi vấn đồng tính và nhiều tin đồn ác ý cho rằng hôn lễ này là sự ép buộc từ gia đình chứ không xuất phát từ tình yêu.

Chồng cũ Từ Hy Viên dùng quyền lực chèn ép người khác trong "đám cưới thế kỷ" với hot girl Mandy?

Sao châu á

19:26:37 25/05/2025

Đám cưới lần 2 của Uông Tiểu Phi được tổ chức hoành tráng, chăm chút đến từng chi tiết, không thua gì lần cưới Từ Hy Viên.

Freddie Mercury có con gái bí mật

Sao âu mỹ

19:24:06 25/05/2025

Cuốn sách Love, Freddie khẳng định đứa trẻ được thụ thai ngoài ý muốn trong một lần ngoại tình của ông với vợ của một người bạn thân vào năm 1976.

TPHCM: Phát hiện người đàn ông chết trong khách sạn

Tin nổi bật

18:46:49 25/05/2025

Nhân viên khách sạn ở quận Tân Bình, TPHCM kiểm tra căn phòng ở tầng 4 thì phát hiện một khách nam lưu trú tử vong nên gọi điện báo cơ quan chức năng.

3 chiến dịch lớn từng do tân Tư lệnh Lục quân Nga chỉ huy tại Ukraine

Thế giới

18:35:32 25/05/2025

Thượng tướng Andrei Mordvichev, người được bổ nhiệm làm Tư lệnh Lục quân Nga mới đây, từng đóng vai trò lớn trong 3 chiến dịch quan trọng của Nga tại Ukraine.