Rất nhiều thiết bị android có chứa lỗ hổng bảo mật ngay từ khi xuất xưởng

(14/08/2018)
Nguồn gốc của những lỗ hổng này, theo nghiên cứu, lại bắt nguồn từ chính các nhà sản xuất.


Theo The Verge, Asus, Essential, LG và ZTE đều cam kết sẽ vá các lỗi bảo mật được vừa tìm thấy bởi công ty bảo mật di động Kryptowire. Nghiên cứu của công ty này đã chỉ ra rằng một số lỗ hổng bảo mật xuất phát từ chính những đoạn code mà các nhà sản xuất dùng để tùy biến Android.

Theo đó, Kryptowire đã tìm thấy các lỗi về firmware (một loại chương trình máy tính cung cấp kiểm soát mức thấp cho phần cứng cụ thể của thiết bị - wikipedia) trên 10 thiết bị ở mọi nhà mạng lớn tại Mỹ. Những lỗ hổng bảo mật này cho phép hacker làm được rất nhiều thứ, từ khóa quyền truy cập của chủ sở hữu cho tới đánh cắp thông tin qua microphone, camera và hơn thế nữa – mặc dù hầu hết những hình thức tấn công mà Kryptowire liệt kê đều yêu cầu người dùng phải tải xuống các ứng dụng độc hại trước khi có thể khai thác lỗ hổng có trong firmware. Nghiên cứu này - được tài trợ bởi Bộ An ninh Nội địa Mỹ - đã được trình bày tại hội nghị an ninh Black Hat USA.

Theo Kryptowire, những lỗ hổng này xuất phát từ bản chất "mở" của nền tảng Android, cho phép bên thứ ba như các nhà cung ứng chỉnh sửa trực tiếp mã nguồn của hệ điều hành, thêm vào những tính năng đặc biệt hoặc thậm chí là tạo ra một phiên bản Android hoàn toàn khác. Tuy nhiên, những hệ thống mở như thế này sẽ tạo điều kiện cho lỗ hổng bảo mật xuất hiện, và đó là một bất cập luôn hiện hữu từ trước đến giờ của các thiết bị chạy Android.

Ông Angelous Stavrou, giám đốc điều hành của Kryptowire chia sẻ: "Rất nhiều nhà sản xuất trong chuỗi cung ứng muốn thêm vào nền tảng các ứng dụng của riêng mình. Điều đó sẽ làm tăng các nguy cơ an ninh và gây ra lỗi phần mềm."

Ví dụ điển hình được đưa ra là lỗ hổng an ninh nghiêm trọng trên thiết bị Asus Zenfone V Live. Kryptowire đã tìm thấy các lỗ hổng đủ để khiến người dùng bị chiếm quyền điều khiển hoàn toàn - về lý thuyết, kẻ tấn công có thể chụp ảnh, quay phim màn hình, thậm chí đọc và thay đổi nội dung tin nhắn có trong máy. Asus cho biết họ "đã nắm được thông tin về những mối nguy bảo mật này" và đang "nỗ lực làm việc để giải quyết chúng" bằng bản vá bảo mật.

Essential, LG và ZTE đều tuyên bố họ đã khắc phục một số/tất cả các vấn đề mà Kryptowire phát hiện ra sau khi được công ty này cảnh báo. Tuy nhiên, việc các nhà sản xuất này khắc phục như thế nào vẫn còn là dấu hỏi lớn, khi chính bản thân quy trình cập nhật bản vá vẫn còn nhiều hạn chế, và thường phải mất hàng tháng trời trước khi chúng đến được tay người dùng.

Theo vnreview

Tin khác