Lỗ hổng an ninh đe dọa hơn 1 tỉ smartphone Android

Theo dõi Báo Gia Lai trên Google News
Lỗ hổng cho phép ứng dụng độc hại triển khai và giả dạng bất kỳ phần mềm được cài sẵn trên máy rồi hiển thị giao diện giả mạo để lừa lấy thông tin người dùng.
 
Strandhogg từng bị khai thác trên Android hồi cuối năm 2019. ẢNH: PROMON
Các chuyên gia bảo mật người Na Uy đã phát hiện ra một lỗ hổng bảo mật nghiêm trọng tên Strandhogg (CVE-2020-0096) ảnh hưởng tới hệ điều hành Android, cho phép hacker triển khai nhiều dạng tấn công với các hình thức giả mạo khác nhau. 
Strandhogg từng được phát hiện lần đầu vào cuối năm 2019, được một số kẻ tấn công triển khai thành công trên máy nạn nhân để ăn cắp thông tin ngân hàng và nhiều tài khoản đăng nhập, đồng thời theo dõi hoạt động trên thiết bị.
Với tên gọi mới Standhogg 2.0, lỗ hổng bảo mật mới này ảnh hưởng tới hầu hết thiết bị chạy Android, chỉ trừ các máy chạy phiên bản mới nhất là Android 10 (Android Q). Tuy nhiên, nền tảng này mới chỉ có mặt trên khoảng 15-20% tổng số thiết bị sử dụng hệ điều hành di động của Google trên toàn cầu, đồng nghĩa có trên 1 tỉ máy có khả năng bị khai thác.
Strandhogg 1.0 tồn tại trong tính năng đa tác vụ của Android, trong khi phiên bản 2.0 về cơ bản là một lỗ hổng đặc quyền cho phép tin tặc có quyền truy cập vào hầu hết ứng dụng có trên máy.
Khi người dùng chạm vào biểu tượng một ứng dụng hợp pháp bất kỳ trên thiết bị, phần mềm độc hại sẽ khai thác lỗ hổng Strandhogg để chặn và hack thao tác này nhằm hiển thị một giao diện giả mạo cho người dùng thay vì mở ứng dụng thật.
Strandhogg 1.0 chỉ có thể tấn công một ứng dụng ở một thời điểm, trong khi 2.0 cho phép tin tặc chủ động tấn công gần như mọi phần mềm có trên máy chỉ bằng một thao tác chạm và không yêu cầu phải cấu hình trước cho mỗi chương trình mục tiêu.
Theo THN, Strandhogg 2.0 ẩn chứa nhiều nguy hiểm và đáng quan ngại bởi nạn nhân gần như không thể phát hiện ra cuộc tấn công. Lỗ hổng này có khả năng hack và giả mạo giao diện của hầu như mọi ứng dụng có mặt trên thiết bị mà không cần phải cấu hình, được sử dụng để yêu cầu mọi sự cấp phép trên máy. Bên cạnh đó, bản 2.0 sử dụng được trên mọi thiết bị Android (trừ phiên bản Android 10) mà không đòi quyền root máy và cũng chẳng yêu cầu bất kỳ sự cho phép nào để hoạt động.
Ngoài việc trộm thông tin tài khoản, phần mềm độc hại có thể gia tăng mức độ nguy hiểm bằng việc đánh lừa người dùng cấp quyền truy cập nhạy cảm trên thiết bị khi đóng giả là ứng dụng hợp pháp.
“Tin tặc có thể lợi dụng Strandhogg 2.0 để có quyền truy cập vào tin nhắn, hình ảnh riêng tư, trộm thông tin đăng nhập các tài khoản, theo dõi hoạt động GPS, thực hiện hoặc ghi lại cuộc gọi hay theo dõi thông qua camera và microphone của điện thoại. Trong khi đó các chương trình chống virus hay quét bảo mật rất khó để phát hiện ra ứng dụng độc hại để đưa ra cảnh báo cho người dùng”, đại diện nhóm nghiên cứu cho biết.
Anh Quân (Thanh Niên)

Có thể bạn quan tâm

Sáng tạo gắn với thực tiễn đào tạo

Sáng tạo gắn với thực tiễn đào tạo

(GLO)- Gần 17 năm gắn bó với Trường Cao đẳng Kỹ thuật Công nghệ Quy Nhơn, thầy Lê Tấn Hòa (SN 1985, giảng viên Khoa Điện tử - Tin học) không ngừng nghiên cứu, sáng tạo các mô hình, thiết bị đào tạo từ chính nhu cầu thực tiễn của giảng đường.

Chủ tịch Hội Vật lý Hoa Kỳ chia sẻ về sóng tô-pô trong khí quyển và đại dương Trái Đất

Chủ tịch Hội Vật lý Hoa Kỳ chia sẻ về sóng tô-pô trong khí quyển và đại dương Trái Đất

(GLO)- Chiều 18-6, tại Trung tâm Quốc tế Khoa học và Giáo dục liên ngành (ICISE), ông Brad Marston - Chủ tịch Hội Vật lý Hoa Kỳ (APS), Giáo sư Vật lý tại Đại học Brown (Hoa Kỳ) đã có buổi nói chuyện đại chúng với chủ đề “Các loại sóng có nguồn gốc tô-pô trong hệ chất lưu của Trái Đất và xa hơn nữa”.

Các công cụ AI ngày càng hiểu con người, nhưng nhân loại lại dần mù mờ trước cách AI hoạt động.

Cảnh báo AI đang tiến hóa vượt ngoài tầm hiểu biết của con người

(GLO)- Các chuyên gia công nghệ hàng đầu thế giới vừa đưa ra cảnh báo về tốc độ phát triển của trí tuệ nhân tạo (AI), công nghệ này đang tiến gần đến ngưỡng mà con người không còn thực sự hiểu rõ cách nó vận hành, trong khi AI ngày càng hiểu sâu hơn về hành vi, tâm lý và động cơ của con người.

Danh sách các tên miền .vn hai ký tự chuẩn bị bước vào phiên đấu giá.

76 tên miền đặc biệt “.vn” sắp bước vào đợt đấu giá thứ hai

(GLO)- Trung tâm Internet Việt Nam (VNNIC) cho biết: Từ ngày 24 đến 25-6 sẽ tổ chức đấu giá trực tuyến quyền sử dụng 76 tên miền cấp hai có 2 ký tự dưới tên miền quốc gia “.vn”. Đây là đợt đấu giá thứ 2 trong năm 2026 đối với nhóm tên miền ngắn, đẹp và có giá trị cao trên môi trường Internet.

Doanh nghiệp AI đối mặt với rủi ro pháp lý lớn, đặc biệt là quyền sở hữu trí tuệ.

Việt Nam bảo hộ sản phẩm do AI tạo ra như thế nào?

(GLO)- Sự phát triển của trí tuệ nhân tạo (AI) đang đặt ra nhiều câu hỏi về quyền sở hữu trí tuệ đối với các sản phẩm do công nghệ này tạo ra. Từ tranh vẽ, âm nhạc đến các sáng chế, việc xác định ai là chủ sở hữu hợp pháp vẫn là vấn đề gây tranh luận tại nhiều quốc gia, trong đó có Việt Nam.

null