Lỗ hổng bảo mật ảnh hưởng hơn 1 tỉ thiết bị sử dụng Android

Minh Tuấn16:15 28/03/2014

Các nhà nghiên cứu thuộc trường đại học Indiana (Mỹ) và Microsoft đã cùng nhau phát hiện ra một lỗ hổng bảo mật mới trên nền tảng di động Android mà có khả năng ảnh hưởng đến hơn một tỉ thiết bị đang sử dụng nền tảng này.

Theo đó, lỗ hổng bảo mật này lợi dụng cơ chế nâng cấp nền tảng và ứng dụng trên Android để có thể phát tán các loại mã độc vào bên trong thiết bị. Thông thường, quá trình nâng cấp Android và các ứng dụng đã cài đặt sẵn trên đó sẽ xóa bỏ hoặc thay thế hàng ngàn file đã lưu trữ sẵn trên thiết bị, mà mỗi file này có những thuộc tính và đặc quyền khác nhau trên hệ thống.

Tuy nhiên, một lỗ hổng bảo mật mà các nhà nghiên cứu gọi là “leo thang đặc quyền thông qua quá trình cập nhất”, hay ngắn gọn là Pileup, cho phép các ứng dụng độc hại ẩn chứa bên trong các gói nâng cấp của hệ thống hay ứng dụng để xâm nhập vào bên trong hệ thống, đồng thời tự động tăng quyền hạn truy cập của các loại mã độc gây hại này.

Android sẽ trở nên dễ bị xâm hại thông qua quá trình nâng cấp ứng dụng và hệ thống.

Video đang HOT

“Các phần mềm độc hại sẽ giả danh dưới gói nâng cấp của ứng dụng hoặc hệ thống để xâm nhập vào bên trong hệ thống thông qua quá trình nâng cấp, đồng thời thay đổi thuộc tính của các ứng dụng để cấp phép mã độc có nhiều quyền hạn hơn khi xâm nhập hệ thống”, báo cáo của các nhà nghiên cứu cho biết.

Sở dĩ các ứng dụng độc hại có thể ẩn chứa bên trong các gói nâng cấp để xâm nhập vào hệ thống vì mặc định Android sẽ không thông báo quyền hạn của các ứng dụng mỗi khi chúng được nâng cấp, mà chỉ đưa ra thông báo về quyền hạn của các ứng dụng ở lần cài đặt đầu tiên. Do vậy, khi các loại mã độc thay đổi quyền hạn của các ứng dụng thì người dùng cũng không hay biết do không có sự thông báo từ Android.

Thông qua lỗ hổng bảo mật này, tin tặc có thể đưa các đoạn mã JavaScript vào bên trong thiết bị để có thể thu giữ, kiểm soát dữ liệu cá nhân quan trọng của người dùng hoặc theo dõi từ xa các hoạt động của người dùng trên smartphone…

Theo các nhà nghiên cứu lỗ hổng bảo mật này ảnh hưởng đến tất cả các phiên bản được phát triển dựa trên dự án mã nguồn mở của Android. Điều này đồng nghĩa với việc lỗ hổng bảo mật này tồn tại trên hầu hết các phiên bản Android khác nhau được phát triển bởi các đối tác của Google, bao gồm Samsung, LG, Sony, HTC…

Tháng 9/2013, Google vừa đua ra thông báo cho biết đã chạm mốc 1 tỉ thiết bị chạy Android được kích hoạt trên toàn cầu, nghĩa là hiện có hơn 1 tỉ thiết bị chạy Android trên toàn cầu ẩn chứa lỗ hổng bảo mật Pileup và có nguy cơ bị tin tặc khai thác và tấn công.

Thông tin vừa được các nhà nghiên cứu công bố là thực sự đáng báo động, khi mà Android đang là nền tảng di động nắm giữ thị phần lớn nhất trên thị trường smartphone. Theo hãng nghiên cứu thị trường Canalys, Android là nền tảng di động phổ biến nhất trong năm 2013 khi chiếm 78,9% số lượng smartphone bán ra trong năm vừa qua và chiếm đến 78,4% thị phần smartphone trong Q4/2013.

Trước đó, một lỗ hổng bảo mật nghiêm trọng khác ảnh hưởng đến 99% thiết bị sử dụng Android cũng đã được phát hiện ra hồi đầu tháng 7 năm ngoái. Google sau đó đã phải gấp rút tung ra bản vá lỗi để vá lại lỗ hổng bảo mật nghiêm trọng này trên nền tảng di động của mình.

Theo Dân Trí

Phát hiện lỗ hổng cho phép xem lén tin nhắn WhatsApp

Nếu bạn sử dụng WhatsApp trên một điện thoại Android thì bạn nên cẩn thận khi nói chuyện hoặc chia sẻ thông tin. Chỉ cần một phần mềm với vài đoạn mã độc, hacker có thể thâm nhập vào bản lưu hội thoại (chat logs) và đọc được những thông tin bạn chia sẻ với bạn bè.

Bas Bosschert, một nhà quản trị hệ thống và là một chuyên gia tư vấn bảo mật người Đức là người phát hiện ra lỗ hổng nói trên của chương trình WhatsApp. Ông này đã đăng bài viết về lổ hổng hôm thứ Ba. Ông cho biết các đoạn hội thoại của chương trình WhatsApp thường được ghi lại vào thẻ nhớ SD của điện thoại Android. Do Android khá "dễ dãi" trong việc cho phép các ứng dụng chia sẻ dữ liệu với nhau, nên từ đây hacker có thể bí mật cài phần mềm chứa mã độc, thâm nhập và đánh cắp bản ghi hội thoại WhatsApp trong thẻ SD. Sau đó bản ghi sẽ được đẩy lên máy chủ của hacker và giải mã.

Vậy làm sao hacker có thể cài phần mềm độc hại vào điện thoại nạn nhân? Ông Bosschert giải thích rằng phần mềm mã độc có thể núp dưới dạng một game hoặc một phần mềm tiện ích để mồi người dùng tải về.

Mặc dù dữ liệu trong các phiên bản WhatsApp mới nhất đều được mã hóa, nhưng việc giải mã không hề khó khăn. Đó là dựa vào một phần mềm mã nguồn mở X-tract đang được cung cấp miễn phí trên Internet.

Đối với các điện thoại dùng hệ điều hành iOS, chưa có bằng chứng cho thấy chúng cũng có lỗ hổng như Android. Nhưng người dùng iOS vẫn phải cảnh giác khi hội thoại với đối tác sử dụng Android vì lỗ hổng nói trên.

Theo MineMobile

Bất ngờ virus lây nhiễm giữa các điểm truy cập Wi-Fi Lần đầu tiên các nhà khoa học thuộc trường Đại học Liverpool (Anh) đã chứng minh loại virus đặc biệt có thể di chuyển giữa các điểm truy cập không dây mà không bị phát hiện, giống như virus cảm cúm lây từ người này sang người khác qua không khí. Nhóm nghiên cứu đã mô phỏng trên máy tính một cuộc tấn...

Bạn thấy bài viết này có hữu ích không?

Có

Không

Tin liên quan

Chủ đề: lỗ hổng bảo mật cảnh báo an toàn

Xem thêm Share

Xem nhiều

Các thương hiệu lớn Trung Quốc rủ nhau rời xa Android?08:38

Tính năng tìm kiếm tệ nhất của Google sắp có trên YouTube09:14

Chiếc iPhone mới thú vị nhất vẫn sẽ được sản xuất tại Trung Quốc00:36

Điện thoại Samsung Galaxy S25 Edge lộ cấu hình và giá bán "chát"03:47

Pin nấm - bước đột phá của ngành năng lượng bền vững08:03

Câu chuyện thú vị về bài hát khiến Windows 'đứng hình'02:25

Lý do bất ngờ khiến Windows 7 khởi động chậm chạp06:56

Canh bạc AI của Apple nhằm 'hạ bệ' Samsung08:44

Vì sao pin smartphone Android kém hơn sau khi cập nhật phần mềm02:20

Windows 11 chiếm bao nhiêu dung lượng ổ cứng?01:07

5 điều nhà sản xuất smartphone không nói cho người mua08:58

Tiêu điểm

Tin đang nóng

Tin mới nhất

Tiết lộ mới về iOS 19

18:33:44 12/05/2025

Nguồn tin từ Bloomberg tiết lộ Apple đang chuẩn bị một cải tiến nhỏ nhưng hữu ích trên hệ điều hành iOS 19.Tính năng này liên quan đến khả năng kết nối WiFi công cộng, chẳng hạn như ở khách sạn, nhà hàng hoặc phòng tập thể dục.

Gần 3 tỉ mật khẩu và 14 triệu thẻ tín dụng bị đánh cắp

12:00:05 12/05/2025

Mặc dù thẻ tín dụng là loại dữ liệu bị đánh cắp phổ biến thứ hai sau mật khẩu, nhưng những thông tin này đủ để thực hiện hàng loạt hành vi lừa đảo tài chính, chiếm đoạt tiền hoặc mở các tài khoản mạo danh.

Áp lực đổi mới bủa vây các 'ông lớn' công nghệ toàn cầu

07:28:49 12/05/2025

Skype không phải là dự án đầu tiên mà Microsoft xử lý không thành công. Trình duyệt Internet Explorer và hệ điều hành Windows Phone cũng từng là những khoản đầu tư lớn nhưng cuối cùng bị bỏ rơi do không thể cạnh tranh.

Kiến tạo trung tâm AI tại Đà Nẵng: triển vọng và những bài toán cần giải

15:02:30 11/05/2025

Ở lĩnh vực giáo dục, AI có thể được ứng dụng để cá nhân hóa học tập, phát triển các công cụ hỗ trợ giảng dạy và đánh giá năng lực học sinh, tạo ra môi trường học tập thích ứng và nâng cao chất lượng giáo dục.

Ứng dụng AI thúc đẩy phát triển du lịch

09:50:09 11/05/2025

Những bước đi này sẽ giúp tối ưu hóa dịch vụ, nâng cao chất lượng trải nghiệm và thúc đẩy sự phát triển vượt trội nhưng bền vững của ngành du lịch Đà Nẵng.

Google buộc các ứng dụng Android phải nâng cấp

19:40:56 10/05/2025

Ứng dụng không chạy mã gốc sẽ không cần điều chỉnh gì. Còn ứng dụng chạy mã gốc hoặc SDK có thể phải cập nhật. Tất cả nên được kiểm tra khả năng tương thích với tiêu chuẩn 16KB.

Thống nhất đầu mối duy nhất quản lý kinh phí nhiệm vụ khoa học và công nghệ quốc gia

10:35:06 10/05/2025

Đây là mô hình tổ chức quản lý nhiệm vụ mang tính hiện đại, hội nhập quốc tế; tạo điều kiện thuận lợi cho các nhà khoa học tiếp cận nguồn lực, giảm thiểu thủ tục hành chính, tăng tính linh hoạt và hiệu quả trong công tác quản lý.

Những trường hợp bị khóa SIM, thu hồi số điện thoại từ tháng 8

10:28:10 10/05/2025

Người dùng có thể tự nguyện trả lại số điện thoại khi không còn nhu cầu sử dụng, bị mất SIM hoặc không thể khôi phục. Trong trường hợp này, số điện thoại sẽ được nhà mạng thu hồi theo quy trình.

Google trả gần 1,4 tỷ USD dàn xếp vụ kiện bảo mật dữ liệu

10:25:46 10/05/2025

Hồi năm ngoái, Meta - tập đoàn sở hữu Facebook và Instagram - cũng đã đồng ý trả 1,4 tỷ USD để dàn xếp với bang Texas về cáo buộc thu thập và sử dụng trái phép dữ liệu nhận dạng khuôn mặt.

Phát triển robot bóng bàn với tiềm năng ứng dụng vượt trội

10:14:38 10/05/2025

Kendrick Cancio, một thành viên khác trong nhóm nghiên cứu nhấn mạnh: Yếu tố quan trọng trong bóng bàn là dự đoán được độ xoáy và quỹ đạo của bóng dựa trên cách đối thủ đánh.

Những điều người dùng cần ở Smart TV

20:09:20 09/05/2025

Khi mà những chiếc Smart TV ngày càng rẻ, người tiêu dùng bắt đầu trở nên thông minh hơn khi mua sắm thay vì chỉ lao theo các mẫu kích thước lớn.

iPhone kỷ niệm 20 năm sẽ có đột phá lớn về màn hình

19:59:32 09/05/2025

Lộ trình để đạt được thiết kế tương lai này dường như đã được táo khuyết vạch sẵn. Công nghệ Face ID ẩn dưới màn hình được đồn đoán sẽ ra mắt trên các mẫu iPhone 18 Pro vào năm 2026.