 |
| Smartphone Android của bạn có thể bị hack chỉ bằng một tin nhắn MMS - Ảnh minh họa: Getty Images |
Các lỗi bảo mật được khám phá và công bố bởi nhà nghiên cứu bảo mật Joshua Drake từ Zimperium zLabs. Theo ông, phạm vi ảnh hưởng bởi các lỗi bảo mật này rất lớn, có thể lên đến 950 triệu thiết bị Android đang được sử dụng trên thị trường.
Chỉ có những thiết bị dùng Android 2.2 và các phiên bản Android trở về trước không bị đe dọa bởi lỗi này.
| Android 4.4 (KitKat) đang là phiên bản được sử dụng rộng rãi nhất hiện nay với 39%, kế đến là hai phiên bản Jelly Bean gồm Android 4.2 17,5%, Android 4.1 14,7%. Hai phiên bản Lollipop mới nhất Android 5.0 và 5.1 chỉ chiếm 11,6% và 0,8%. Và tính riêng số lượng Android bán ra năm 2014 đã vượt mốc 1 tỉ (theo Strategy Analytics) |
|
Số liệu tính đến tháng 6-2015 từ website Google Android Developer |
Khám phá của Joshua Drake cho thấy lỗ hổng nằm trong một đoạn mã StageFright của hệ điều hành Android, vốn dùng để phát các tập tin đa phương tiện (multimedia) gửi trong tin nhắn MMS (tin nhắn đa phương tiện, khác với tin nhắn văn bản thô SMS).
 |
| Lỗi trong Stagefright đe dọa gần 950 triệu smartphone Android - Ảnh: Joshua Drake blog |
Hacker có thể dễ dàng tấn công mục tiêu bằng cách gửi một tin nhắn MMS chứa mã khai thác đến số điện thoại của thiết bị Android. Theo đó, hacker có thể thâm nhập bất kỳ "ngõ ngách" nào trên thiết bị, những nơi mà Stagefright được hệ thống Android cho phép như đánh cắp hình ảnh lưu trên thẻ nhớ, cho phép ghi âm hay quay phim... Nạn nhân thậm chí không biết đã nhận một tin nhắn "chết người".
 |
| Các bước minh họa tấn công bằng một tin nhắn MMS, trong thử nghiệm là gửi tin nhắn kèm video - Nguồn: Joshua Drake |
Joshua Drake đã thử nghiệm trên nhiều thiết bị khác nhau, khai thác lỗi cho phép ông chiếm quyền xử lý cao nhất trên hệ thống.
Joshua Drake đã báo lỗ hổng đến Google vào tháng Tư kèm theo các bản vá lỗi. Các lỗ hổng được xếp ở mức "nguy hiểm", được đặt tên mã bao gồm: CVE-2015-1538, CVE-2015-1539, CVE-2015-3824, CVE-2015-3826, CVE-2015-3827, CVE-2015-3828, và CVE-2015-3829.
Giới bảo mật lo ngại việc phân phối bản vá đến người dùng sẽ gặp nhiều khó khăn và chậm trễ do Android bị phân mảng theo nhà sản xuất thiết bị. Dù Google đã phát hành bản vá lỗi cho Android gốc nhưng còn tùy thuộc các nhà sản xuất smartphone phát hành đến smartphone đang lưu hành trên thị trường để người dùng cập nhật tự động.
 |
| Số liệu từ Google Android developer tháng 6-2015 |
Các nhà sản xuất smartphone Android như Samsung, Sony, LG, HTC, Motorola, ZTE, Huawei, Lenovo... đều không sử dụng phiên bản Android gốc, thay vào đó, họ tích hợp bản Android đã hiệu chỉnh bao gồm giao diện và tích hợp sẵn các ứng dụng của mình, nên việc cập nhật bản vá còn phụ thuộc vào từng nhà sản xuất thiết bị, và cả nhà mạng.
Nhà sản xuất Silent Circle đã nhanh tay tạo bản vá cho smartphone "siêu bảo mật" Blackphone. Mozilla cũng phát hành bản nâng cấp 38 cho FireFox vì trình duyệt này dùng Stagefright để phát video. CyanogenMod cũng vừa có ngăn khai thác lỗi.
Đăng ký tại đây
Bình luận hay