Phát hiện 'lỗ hổng bảo mật chết' người của hệ điều hành Android
Các nhà nghiên cứu ở thành phố Zurich của Thụy Sỹ vừa phát hiện ra một lỗ hổng bảo mật vô cùng nguy hiểm của hệ điều hành Android.
Phát hiện “lỗ hổng bảo mật chết” người của hệ điều hành Android.
Một nhóm nghiên cứu gồm các chuyên gia thuộc Trường Đại học Bách khoa Zurich (ETH) và Đại học Rome La Sapienza đã phát triển một ứng dụng có thể cho phép truyền đến họ tất cả các động tác nhấp chuột của người dùng lên chiếc điện thoại thông minh của người này cũng như tất cả các dữ liệu của máy.
Với cách thức này, các chuyên gia đã thành công trong việc thâm nhập 20 chiếc điện thoại của những người dùng tự nguyện tham gia chương trình thử nghiệm. Theo đó, lỗ hổng này có thể khiến cho hàng triệu máy điện thoại thông minh bị truy cập mà người sử dụng không hề hay biết.
Các chuyên gia cho biết, lỗ hổng an ninh nói trên xuất phát từ công nghệ "Hover", đang hiện diện trong hàng triệu điện thoại thông minh của các hãng Samsung, Sony và Asus.
Tại Thụy Sĩ, ước tính có khoảng 60.000 chiếc điện thoại bị ảnh hưởng bởi lỗ hổng an ninh này.
Lỗ hổng an ninh này xuất phát từ công nghệ
Trước thông tin cảnh báo này, hiện Google chưa đưa ra phản ứng nào - theo chuyên gia Luka Malisa, đồng tác giả của nghiên cứu, đồng thời cũng là nghiên cứu sinh tiến sỹ tại ETH Zurich. Ông cho rằng: "Có thể Google không coi vấn đề này là sự cố bởi hệ điều hành vẫn đang tiếp tục hoạt động.”
Trong khi đó, duy nhất hãng Samsung – một trong số các nhà sản xuất liên quan, đã lên tiếng và cho biết, họ đang xem xét các kết quả nghiên cứu của các chuyên gia thuộc ETH Zurich.
Trước đó, hồi cuối tháng 5, các nhà nghiên cứu cuxnmg đã phát hiện ra một lỗ hổng mới trên điện thoại Android có thể khiến tin tặc bí mật tấn công điện thoại trong khi người dùng đang sử dụng.
Lỗ hổng này được gọi là "Cloak and Dagger" (Áo choàng và Dao găm), là lỗ hổng bảo mật trên các máy điện thoại Android, cho phép tin tặc tận dụng hai quyền trên hệ điều hành Android là SYSTEM_ALERT_WINDOW ("vẽ trên đầu trang") và BIND_ACCESSIBILITY_SERVICE ("a11y") để tấn công người dùng.
Sử dụng lỗ hổng này, tội phạm mạng có thể lừa người dùng gõ vào các nút mà họ không nhìn thấy, cũng như ghi lại mọi thứ người dùng thực hiện trên điện thoại và thu thập các thông tin quan trọng, chẳng hạn như mật khẩu và mã PIN, mà thậm chí người dùng không nhận thấy.
Thanh Trà (tổng hợp)
