Lỗ hổng bảo mật nghiêm trọng đe dọa điện thoại Android

Các nhà nghiên cứu bảo mật di động tại Zimperium zLabs cho biết tin tặc có thể lợi dụng lỗ hổng bảo mật để chiếm quyền kiểm soát thiết bị chỉ với một đoạn nhạc MP3

Stagefright là lỗ hổng bảo mật kinh khủng nhất của Android từ trước đến nay

Lỗ hổng bảo mật này được đặt tên là Stagefright 2.0 vì nó có khá nhiều đặc điểm giống như Stagefright – lỗi lớn nhất của hệ điều hành Android từng được phát hiện từ tháng 7–2015. Được biết, Stagefright 2.0 tồn tại trong các thiết bị sử dụng hệ điều hành Android từ phiên bản đầu tiên ra mắt năm 2008 đến giờ nhưng nay mới được phát hiện.

Thủ thuật vô cùng đơn giản, tin tặc chỉ cần lừa người dùng sử dụng tính năng preview (duyệt trước) để nghe một đoạn nhạc MP3 hoặc xem một video MP4 chứa mã đặc biệt là chúng đã có toàn quyền truy cập vào thiết bị di động và thay đổi mã từ xa, chiếm quyền kiểm soát máy. Tệ nhất là chúng có thể nghe lén cuộc gọi, kiểm soát tin nhắn, email hay mọi giao dịch trực tuyến của bạn.

Ở lỗ hổng bảo mật Stagefright đời đầu với đánh giá từ các chuyên gia là “lỗ hổng Android tồi tệ nhất từ trước tới nay”, tin tặc chỉ cần gửi đi một tin nhắn MMS chứa mã độc hại mà không đòi hỏi người dùng phải thực hiện thao tác gì. Sau khi thâm nhập vào máy, tin tặc có thể tiếp cận được các ứng dụng như audio, camera rồi từ đó nghe lén các cuộc gọi hay quan sát môi trường xung quanh vị trí đặt thiết bị. Dự đoán đã có khoảng 95% thiết bị Android bị ảnh hưởng bởi lỗi này.

Ngay khi được thông báo về sự tồn tại của lỗ hổng bảo mật Stagefright, Google đã tung ra một bản vá lỗi. Tuy nhiên, họ hoàn toàn bất lực trong việc triển khai bản vá lỗi tới các thiết bị đã bị xâm nhập mà chỉ có thể giải quyết cho thiết bị Google Play Edition. Chỉ duy nhất dòng sản phẩm Blackphone do Silent Circle sản xuất là khắc phục được lỗ hổng bảo mật này trước cả khi Zimperium zLabs công bố.

Với Stagefright 2.0, người dùng có thể bị dính mã độc thông qua những đường link cho phép thiết bị tự động kích hoạt tính năng preview khi xem video hoặc nghe mp3 trên mạng. Đặc biệt nguy hiểm nếu người dùng và tin tặc sử dụng chung một mạng Wifi vì khả năng bị dính mã độc sẽ cao hơn rất nhiều.

Ông Zuk Avraham, người sáng lập Zimperium zLabs, cho biết: “Toàn bộ 1,4 tỷ thiết bị Android trên thế giới đều có thể bị ảnh hưởng bởi lỗ hổng bảo mật kinh khủng này”. Bảo mật luôn là vấn đề nan giải với những thiết bị Android. Đây cũng là sự khác biệt lớn giữa hệ điều hành này với những đối thủ như iOS hay Windows.

Stagefright 2.0 đã được các chuyên gia bảo mật chuyển tới Google và hãng dịch vụ tìm kiếm đã gửi bản cập nhật tới các nhà sản xuất Android. Các bản vá lỗi sẽ sớm được tung ra nhằm giảm thiểu tối đa thiệt hại cho người dùng. Nexus sẽ là những thiết bị nhận được thông báo cập nhật trong đợt đầu tiên vào ngày 5–10. Google cũng sẽ thúc đẩy các hãng sản xuất khác hợp tác để tìm ra phương án giải quyết lỗ hổng bảo mật Stagefright 2.0.

Tiếp Thị Gia Đình

Bình luận