Hàng triệu thiết bị Android đang có nguy cơ bị phơi nhiễm với malware ngay từ khi mới đập hộp

Hàng triệu thiết bị Android đang có nguy cơ bị phơi nhiễm với malware ngay từ khi mới đập hộp
Theo: KON Theo Trí Thức Trẻ
Thể loại: Khoa Học Công Nghệ
Lỗi lầm từ firmware mà ra cả.

Những sự cố bảo mật trên smartphone thường là do chính người dùng gây ra, như khi họ nhấn vào link sai trái, hay tải một ứng dụng nguy hiểm nào đó. Nhưng với hàng triệu các thiết bị Android, các lỗ hổng đã có sẵn từ khi người dùng còn chưa đập hộp, ẩn sau trong firmware, chỉ trực chờ được khai thác. Ai đã đặt những lỗ hổng vào đó? Có thể là do nhà sản xuất, và cũng có thể là do nhà mạng.

Hàng triệu thiết bị Android đang có nguy cơ bị phơi nhiễm với malware ngay từ khi mới đập hộp - Ảnh 1.

Đó chính là phát hiện quan trọng của phân tích mới từ công ty bảo mật di động Kryptowire, cho thấy các lỗi đã được cài đặt trước vào 10 thiết bị được bán bởi những nhà mạng lớn của Mỹ. CEO của Kryptowire, ông Angelos Stavrou và giám đốc nghiên cứu Ryan Johnson đã trình bày nghiên cứu của họ tại Hội nghị an ninh Mũ Đen vào hôm thứ sáu.

Các thiệt hại mà các lỗ hổng này có thể gây ra có nguy cơ từ thấp đến cao, chẳng hạn như bị khoá thiết bị hoặc bị kẻ gian truy cập vào microphone và các tính năng khác. Tuy nhiên, chúng đều có một điểm chung: lẽ ra chúng không nên có mặt trên thiết bị.

Hàng triệu thiết bị Android đang có nguy cơ bị phơi nhiễm với malware ngay từ khi mới đập hộp - Ảnh 2.

Thay vào đó, chúng là sản phẩm phụ của một hệ điều hành Android mở, cho phép các công ty bên thứ ba sử đổi code theo ý thích của họ. Về cơ bản, điều này không có gì sai; nó đem lại sự khác biệt và cho phép người dùng có nhiều sự lựa chọn hơn. Google sẽ ra mắt một phiên bản Android Pie cơ bản vào mùa thu này, nhưng sau đó, kiểu gì cũng sẽ có nhiều phiên bản khác nhau với nhiều hương vị khác nhau cho người dùng.

Mặc dù vậy, những thay đổi đó sẽ gây ra nhiều vấn đề, chẳng hạn như các bản cập nhật bảo mật sẽ phải mất thời gian lâu hơn để đến tay người dùng. Ngoài ra, như Stavrou và đội của ông đã phát hiện ra, chúng cũng có thể đem đến những lỗi firmware, khiến cho người dùng gặp nhiều rủi ro hơn.

Stavrou chia sẻ: "Vấn đề sẽ không đi đâu cả, bởi vì nhiều người trong chuỗi cung ứng muốn cài đặt ứng dụng của riêng họ, tuỳ chỉnh và bổ sung code của riêng họ. Điều này làm tăng bề mặt tấn công, và tăng khả năng xảy ra lỗi phần mềm. Họ đang để người dùng cuối dễ bị khai thác hơn, điều mà người dùng không thể phản hồi lại được."

Hàng triệu thiết bị Android đang có nguy cơ bị phơi nhiễm với malware ngay từ khi mới đập hộp - Ảnh 3.

Hội thảo Mũ đen tập trung nhiều vào các thiết bị đến từ Asus, LG, Essential và ZTE. ZTE đã khiến nhiều người quan tâm. Bộ an ninh nội địa Hoa Kỳ cho rằng công ty của Trung Quốc này là một mối đe doạ an ninh, mặc dù cơ quan này đã không chia sẻ bất kỳ bằng chứng cụ thể nào về điều đó.

Hãy nhìn vào chiếc Asus ZenFone V Live. Kryptowire cho rằng thiết bị này khiến chủ sở hữu có nguy cơ bị xâm chiếm toàn bộ hệ thống, bao gồm chụp ảnh màn hình, quay video màn hình, gọi điện thoại, đọc và chỉnh sửa tin nhắn, v.v...

Công ty đã chia sẻ: "Asus nhận thức được mối quan tâm về bảo mật của ZenFone và đang làm việc chăm chỉ và nhanh chóng để giải quyết chúng bằng những bản cập nhật phần mềm mà sẽ được cung cấp cho người dùng ZenFone. Asus cam kết bảo mật và quyền riêng tư của người dùng và chúng tôi đặc biệt khuyến khích người dùng cập nhật phần mềm ZenFone mới nhất để đảm bảo trải nghiệm người dùng an toàn."

Hàng triệu thiết bị Android đang có nguy cơ bị phơi nhiễm với malware ngay từ khi mới đập hộp - Ảnh 4.

Asus ZenFone V Live

Vào thời điểm này, việc cho ra mắt một bản cập nhật là điều mà Asus có thể làm để dọn sạch đống hỗn loạn mà họ đã tạo ra. Nhưng Stavrou cũng đặt câu hỏi về hiệu quả của quá trình chắp vá này: "Người dùng sẽ phải chấp nhận bản vá. Vì thế, kể cả khi họ gửi nó qua điện thoại, bạn có thể không chấp nhận cập nhật." Ông cũng nhấn mạnh rằng trên một số mẫu điện thoại mà Kryptowire đã thử nghiệm, chính quá trình cập nhật cũng chẳng ra gì. Phát hiện này cũng được hỗ trợ bởi một nghiên cứu gần đây từ công ty nghiên cứu an ninh của Đức, Security Research Labs.

Những cuộc tấn công mà Kryptowire phát hiện ra phần lớn yêu cầu người dùng phải tải một ứng dụng. Stavrou cho biết những lỗ hổng này nguy hiểm đến mức những ứng dụng được tải về không cần phải có đặc quyền đặc biệt khi bạn cài đặt chúng. Một ứng dụng sẽ không cần phải lừa bạn để cho phép truy cập vào tin nhắn và nhật ký cuộc gọi của bạn. Nó đơn giản, lặng lẽ lấy những thông tin đó, nhờ vào firmware lầm lỗi của thiết bị.

Kịch bản đó sẽ dẫn đến nhiều kết quả khác nhau, phụ thuộc vào từng thiết bị. Với ZTE Blade Spark và Blade Vantage, lỗi firrmware cho phép bất cứ ứng dụng nào cũng có thể truy cập vào tin nhắn, dữ liệu cuộc gọi và nhật ký logcat, thứ mà thu thập thông báo hệ thống và có thể bao gồm những thông tin nhạy cảm như địa chỉ email, toạ độ GPS, v.v... Trên chiếc LG G6, các lỗ hổng có thể làm lộ nhật ký logcat, hoặc có thể sử dụng để khoá người dùng ra khỏi thiết bị. Và kẻ tấn công có thể khôi phục cài đặt gốc trên chiếc Essential Phone, xoá sạch dữ liệu và cache của máy.

Hàng triệu thiết bị Android đang có nguy cơ bị phơi nhiễm với malware ngay từ khi mới đập hộp - Ảnh 5.

Trưởng nhóm truyền thông của Essential, Shari Doherty chia sẻ: "Một khi chúng tôi nhận thức được về lỗ hổng này, nó đã được lập tức sửa chữa bởi đội của chúng tôi."

LG dường như đã giải quyết được một số, song không phải là tất cả những vấn đề cơ bản. Công ty đã chia sẻ: "LG đã nhận thức được về các lỗ hổng và đã giới thiệu các bản cập nhật bảo mật để giải quyết vấn đề này. Trong thực tế, đa phần các lỗ hổng được báo cáo đã được vá, hoặc đã được đưa vào các bản cập nhật bảo trì theo lịch trình sắp tới."

Về phần ZTE, công ty chia sẻ trong một tuyên bố rằng họ "đã đưa ra hoặc đang làm việc với các nhà mạng ngày hôm nay để đưa ra các bản cập nhật bảo trì để sửa những lỗi đã được xác định này. ZTE sẽ tiếp tục làm việc với các đối tác công nghệ và các khách hàng nhà mạng để đưa ra các bản cập nhật bảo trì để tiếp tục bảo vệ các thiết bị của người tiêu dùng."

Hàng triệu thiết bị Android đang có nguy cơ bị phơi nhiễm với malware ngay từ khi mới đập hộp - Ảnh 6.

Essential Phone 2

Các chuỗi tuyên bố này cho thấy được sự tiến bộ, nhưng nó cũng nhấn mạnh một vấn đề chính. Những bản cập nhật này có thể sẽ mất nhiều tháng để được tạo ra và thử nghiện, theo Stavrou cho biết, và cần phải trải qua một chuỗi các công đoạn từ nhà sản xuất cho đến nhà mạng rồi mới đến khach hàng. Trong khi bạn chờ đợi, bạn chẳng thể làm gì để tự mình sửa chữa vấn đề, hay thậm chí bạn có thể chẳng thể xác định được vấn đề từ ban đầu.

Stavrou cho biết: "Một điều rõ ràng là chẳng có ai bảo về người tiêu dùng cả. Lỗi rất sâu trong hệ thống mà người dùng có thể còn không biết là nó ở đó. Hoặc kể cả nếu họ có biết, họ cũng không có cách nào khác ngoài việc đợi nhà sản xuất hay nhà mạng, hoặc bất cứ ai có khả năng cập nhật firmware."

Một phát ngôn viên của Google đã chia sẻ trong một tuyên bố: "Chúng tôi muốn cảm ơn các nhà nghiên cứu bảo mật tại Kryptowire vì những nỗ lực của họ để củng cố an ninh cho hệ sinh thái Android. Các vấn đề mà họ đã vạch ra không ảnh hưởng đến chính hệ điều hành Android, mà thay vào đó, ảnh hưởng đến code và các ứng dụng của bên thứ ba trên các thiết bị."

Code và các ứng dụng của bên thứ ba sẽ không biến mất đâu. Chừng nào mà chúng còn ở đó, các vấn đề sẽ vẫn còn tiếp diễn.

Tham khảo Wired  

Tự nhận mình "ít hiểu biết về khoa học", nhưng cụ Stan Lee đã tạo ra vũ trụ Marvel bằng cảm hứng khoa học

tinybook tinybook 17 giờ 25 phút
Tự nhận mình "ít hiểu biết về khoa học", nhưng cụ Stan Lee đã tạo ra vũ trụ Marvel bằng cảm hứng khoa học
Khoa học phát triển nhờ trí tò mò. Cụ Stan Lee là người khuyên chúng ta hãy tò mò khám phá, để trí tưởng tượng bay xa. Có thể nói khoa học đã mất đi một người truyền cảm hứng vĩ đại.

Từ "Excelsior" mà cả Internet đang dùng để tưởng nhớ cụ Stan Lee có nghĩa là gì?

tinybook tinybook 17 giờ 27 phút
Từ "Excelsior" mà cả Internet đang dùng để tưởng nhớ cụ Stan Lee có nghĩa là gì?
Đó là từ cửa miệng, là châm ngôn sống của Stan Lee. Có thể dùng để mô tả chính con người huyền thoại vĩ đại của truyện tranh.

10 sự thật tuyệt vời về cuộc đời cụ Stan Lee

tinybook tinybook 19 giờ 20 phút
10 sự thật tuyệt vời về cuộc đời cụ Stan Lee
Stanley Martin Lieber - Nhà đồng sáng lập Marvel, người chắp bút tạo nên không ít nhân vật siêu anh hùng, đã từ trần ở tuổi 95.

Phát hiện "nhà tù" giam giữ hơn 100 con cá voi tại Nga, chuẩn bị bán sang Trung Quốc

tinybook tinybook 19 giờ 39 phút
Phát hiện "nhà tù" giam giữ hơn 100 con cá voi tại Nga, chuẩn bị bán sang Trung Quốc
Các nhà điều tra Nga đang tìm hiểu sự việc, trong lúc đó lại phát hiện ra thêm một vụ việc buôn cá voi trái phép khác.

Chiếc sedan điện Tesla Model 3 lập kỉ lục mới, lọt top 10 chiếc siêu xe thể thao nhanh nhất

tinybook tinybook 20 giờ 55 phút
Chiếc sedan điện Tesla Model 3 lập kỉ lục mới, lọt top 10 chiếc siêu xe thể thao nhanh nhất
Cập nhật phần mềm mới đã cho phép chiếc Tesla Model 3 phiên bản Performance vươn lên top đầu.

Trung Quốc: Teen 13 tuổi lập kỷ lục thế giới Guinness khi giải rubik bằng cả tay và chân cùng lúc nhanh nhất

tinybook tinybook 21 giờ 49 phút
Trung Quốc: Teen 13 tuổi lập kỷ lục thế giới Guinness khi giải rubik bằng cả tay và chân cùng lúc nhanh nhất
Một cậu bé 13 tuổi tại Trung Quốc đã khiến cả thế giới phải kinh ngạc khi giải thành công 3 khối rubik bằng tay và chân cùng lúc, qua đó chính thức thiết lập kỷ lục thế giới mới.

Kỳ lạ: Phát hiện nhiều xác ướp của bọ hung và mèo tại một ngôi mộ Ai Cập cổ đã 4.500 năm tuổi

tinybook tinybook 1 ngày 8 giờ
Kỳ lạ: Phát hiện nhiều xác ướp của bọ hung và mèo tại một ngôi mộ Ai Cập cổ đã 4.500 năm tuổi
Không chỉ có các vị vua chúa mà người Ai Cập cổ thời xưa còn ướp xác cả bọ hùng và mèo, cho thấy các loài vật này đã từng được tôn sùng đến nhường nào.

[Vietsub] Dây cáp điện công nghiệp đặc chủng được sản xuất như thế nào?

tinybook tinybook 1 ngày 9 giờ
[Vietsub] Dây cáp điện công nghiệp đặc chủng được sản xuất như thế nào?
Dây và cáp điện đặc chủng phải được thiết kế tùy chỉnh và chế tạo một cách chuyên nghiệp để có thể chịu được điều kiện làm việc ở nhiều môi trường khác nhau.

Người đời từng cười tính năng phòng vệ vũ khí hóa học của xe Tesla là vớ vẩn, nhưng thực tế chứng minh họ sai lầm

tinybook tinybook 1 ngày 18 giờ
Người đời từng cười tính năng phòng vệ vũ khí hóa học của xe Tesla là vớ vẩn, nhưng thực tế chứng minh họ sai lầm
Người ta hoài nghi rằng Elon Musk chỉ bịa ra cơ chế trên cho vui. Thực tế chứng minh điều ngược lại.

Những sự thật chứng minh con người là giống loài thượng đẳng

tinybook tinybook 2 ngày 9 giờ
Những sự thật chứng minh con người là giống loài thượng đẳng
Thật vui vì mình thuộc giống loài thống trị vạn vật (tính tới thời điểm hiện tại).

[Vietsub] Cựu giám đốc CIA tiết lộ bí mật của nghệ thuật cải trang, chỉ những người trong ngành mới biết

tinybook tinybook 2 ngày 10 giờ
[Vietsub] Cựu giám đốc CIA tiết lộ bí mật của nghệ thuật cải trang, chỉ những người trong ngành mới biết
Bạn muốn biến mất? Hãy hỏi chuyên gia từ CIA.

Hàn Quốc ngừng một số hoạt động hàng không, quân sự để học sinh tập trung thi Đại học

tinybook tinybook 14 giờ 33 phút
Hàn Quốc ngừng một số hoạt động hàng không, quân sự để học sinh tập trung thi Đại học
Ngày 15/11 tới đây, cả Hàn Quốc sẽ rơi vào "trạng thái im lặng" trong khoảng 40 phút để học sinh tập trung toàn lực làm bài thi nghe môn ngoại ngữ.

Mối tình kỳ diệu nhất Hollywood của Stan Lee: Yêu từ khi chưa gặp mặt, mất 2 tuần để "đập chậu cướp hoa" rồi bên nhau 70 năm không rời

tinybook tinybook 14 giờ 59 phút
Mối tình kỳ diệu nhất Hollywood của Stan Lee: Yêu từ khi chưa gặp mặt, mất 2 tuần để "đập chậu cướp hoa" rồi bên nhau 70 năm không rời
Trong thế giới Hollywood đầy rẫy sự cám dỗ thì cuộc hôn nhân hạnh phúc kéo dài cả 7 thập kỷ của Stan Lee và vợ, Joan Boocock Lee, quả thật là một điều đáng ngưỡng mộ mà không phải ai cũng có được.

Nhật Bản: Hành khách đòi ghế cạnh cửa sổ, tiếp viên hàng không liền vẽ cho một cái

tinybook tinybook 17 giờ 5 phút
Nhật Bản: Hành khách đòi ghế cạnh cửa sổ, tiếp viên hàng không liền vẽ cho một cái
Đôi khi, hạnh phúc đến từ việc tiết chế mong muốn của bản thân. Cái cửa sổ giấy này là ví dụ.

Sau tai nạn của hãng Lion Air, Boeing cảnh báo lỗi nghiêm trọng có thể khiến máy bay 737 Max "bổ nhào xuống đột ngột"

tinybook tinybook 17 giờ 56 phút
Sau tai nạn của hãng Lion Air, Boeing cảnh báo lỗi nghiêm trọng có thể khiến máy bay 737 Max "bổ nhào xuống đột ngột"
Theo trang tin Bloomberg, Boeing có thể sẽ sớm đưa ra một thông báo về lỗi kỹ thuật trong hệ thống trên Boeing 737 Max có thể khiến máy bay mất độ cao, gây ra tai nạn nghiêm trọng.

Video gây sốc trên Weibo: Đang đi dạo trên vỉa hè, cô gái bất ngờ bị sụt xuống hố tử thần

tinybook tinybook 18 giờ 31 phút
Video gây sốc trên Weibo: Đang đi dạo trên vỉa hè, cô gái bất ngờ bị sụt xuống hố tử thần
Vì sao lúc ấy hố tử thần lại xuất hiện trên vỉa hè? Vì sao lại là người phụ nữ đó chứ không phải ai khác? Vấn đề này khoa học vẫn chưa lý giải được.

Những cột mốc đáng nhớ trong sự nghiệp của Stan Lee - người tạo ra những siêu anh hùng

tinybook tinybook 20 giờ 18 phút
Những cột mốc đáng nhớ trong sự nghiệp của Stan Lee - người tạo ra những siêu anh hùng
Sự ra đi của Stan Lee - "cha đẻ" của các siêu anh hùng Marvel ở tuổi 95 đã để lại sự tiếc thương và mất mát lớn cho cộng đồng người hâm mộ.

The Detective Pikachu tung trailer đầu tiên: Pikachu được lồng tiếng bằng chất giọng "bựa" của Ryan Raynolds

tinybook tinybook 20 giờ 30 phút
The Detective Pikachu tung trailer đầu tiên: Pikachu được lồng tiếng bằng chất giọng "bựa" của Ryan Raynolds
Dự kiến, The Detective Pikachu sẽ ra rạp vào mùa hè năm sau.

"Cha đẻ" Marvel, cụ Stan Lee qua đời ở tuổi 95

tinybook tinybook 22 giờ 29 phút
"Cha đẻ" Marvel, cụ Stan Lee qua đời ở tuổi 95
Vậy là từ bây giờ, chúng ta sẽ không còn được thấy Stan Lee đóng các vai cameo trong các bộ phim tiếp theo của Marvel nữa.

Choáng váng với khả năng giao tiếp bằng 11 thứ tiếng của cậu bé bán hàng rong ở Campuchia

tinybook tinybook 1 ngày 8 giờ
Choáng váng với khả năng giao tiếp bằng 11 thứ tiếng của cậu bé bán hàng rong ở Campuchia
Anh chàng tí hon chia sẻ, chính việc giao tiếp với khách du lịch đã đem đến khả năng ngoại ngữ đáng nể của cậu.

"Học sinh ngủ trong lớp đâu phải vì lười, giáo dục nên coi giấc ngủ như một phần trọng tâm"

tinybook tinybook 1 ngày 8 giờ
"Học sinh ngủ trong lớp đâu phải vì lười, giáo dục nên coi giấc ngủ như một phần trọng tâm"
Học sinh trung học nên được cho vào lớp muộn hơn để phù hợp với nhịp sinh học của thanh thiếu niên.

Trầm trồ với màn ảo thuật đoạt chức vô địch Đại hội Ảo thuật Thế Giới: Anh ấy đã làm thế nào vậy?

tinybook tinybook 1 ngày 12 giờ
Trầm trồ với màn ảo thuật đoạt chức vô địch Đại hội Ảo thuật Thế Giới: Anh ấy đã làm thế nào vậy?
Màn diễn của nhà vô địch đến từ Đài Loan, Eric Chien chắc chắn sẽ khiến bạn phải dụi mắt và muốn xem đi xem lại nhiều lần.

Ô 11 triệu, kẹp giấy 35 triệu và loạt đồ gia dụng hàng hiệu "đắt như điên" khiến ai cũng hoa mắt

tinybook tinybook 1 ngày 13 giờ
Ô 11 triệu, kẹp giấy 35 triệu và loạt đồ gia dụng hàng hiệu "đắt như điên" khiến ai cũng hoa mắt
Những món đồ tưởng như rất bình thường, nhưng khi khoác lên mình thương hiệu xa xỉ thì lại có giá trên trời.

Chàng trai người Nhật kết hôn với ca sĩ ảo Hatsune Miku vì không tin vào phụ nữ

tinybook tinybook 1 ngày 15 giờ
Chàng trai người Nhật kết hôn với ca sĩ ảo Hatsune Miku vì không tin vào phụ nữ
Đám cưới được tổ chức trọng thể với sự tham gia của 39 khách mời và được chia sẻ rộng rãi trên Twitter.

Làm sao để được vinh danh trên Đại lộ Danh vọng Hollywood? không phải cứ nổi tiếng là được "in sao"!

tinybook tinybook 1 ngày 15 giờ
Làm sao để được vinh danh trên Đại lộ Danh vọng Hollywood? không phải cứ nổi tiếng là được "in sao"!
Không phải ai nổi tiếng cũng được vinh danh trên Đại lộ Danh vọng - con đường nổi tiếng bậc nhất của Hollywood đâu.

"Từ bỏ đồ ăn nhanh để trị bệnh viêm tuyến giáp, điều tôi không thể ngờ tới lại xảy ra"

tinybook tinybook 1 ngày 16 giờ
"Từ bỏ đồ ăn nhanh để trị bệnh viêm tuyến giáp, điều tôi không thể ngờ tới lại xảy ra"
Cảm giác mệt mỏi và những cơn đau bụng bắt đầu xuất hiện trở lại, tới mức ám ảnh tôi.

Khám phá công việc đầy thử thách của một nghệ sĩ tạo hình nhân vật trong phim Hollywood

tinybook tinybook 1 ngày 16 giờ
Khám phá công việc đầy thử thách của một nghệ sĩ tạo hình nhân vật trong phim Hollywood
Thú vị nhưng đòi hỏi rất nhiều chất xám cũng như sức lực.

Trường tiểu học Nhật Bản mượn ước mơ của học sinh để phân loại đũa bẩn như thế nào?

tinybook tinybook 1 ngày 18 giờ
Trường tiểu học Nhật Bản mượn ước mơ của học sinh để phân loại đũa bẩn như thế nào?
Không ngờ việc vứt đũa ăn hay xiên que cũng có thể đem lại niềm vui cho cả người lớn lẫn trẻ nhỏ.

Shawshank Redemption được bình chọn là bộ phim xuất sắc nhất trong 30 năm trở lại đây

tinybook tinybook 1 ngày 19 giờ
Shawshank Redemption được bình chọn là bộ phim xuất sắc nhất trong 30 năm trở lại đây
Khi những con người vốn đã tuyệt vọng bị giam giữ ở một nơi cũng tuyệt vọng quá lâu, người ta khó có thể nghĩ đến cuộc sống tốt đẹp bên ngoài song sắt. Tuy nhiên, một số người dám đứng lên đấu tranh với số phận - và đó là câu chuyện của Shawshank Redemption.

Giả thuyết "Avengers 4": Lẽ nào Nick Fury đã biết về tương lai "ăn hành" của Avengers?

tinybook tinybook 1 ngày 20 giờ
Giả thuyết "Avengers 4": Lẽ nào Nick Fury đã biết về tương lai "ăn hành" của Avengers?
Một số fan tin rằng Nick Fury có lẽ đã biết được điều gì đó ngay từ thập niên 90 khi gặp gỡ Captain Marvel.
tinybook Công Nghệ Thông Tin








Chat