Thử nghiệm tấn công chiếm quyền điều khiển một smartphone Android cài đặt Viber, điện thoại chủ đích tấn công (bên trái) và điện thoại nạn nhân (phải).

Một lỗ hổng có thể bị kẻ xấu lợi dụng truy cập và giành quyền kiểm soát hoàn toàn các điện thoại sử dụng Android cài đặt ứng dụng Viber dù máy đã được khóa.

Lỗi được Công ty an ninh mạng Bkav khám phá và công bố, được các tạp chí và website bảo mật trên thế giới cảnh báo đến người dùng trong tuần qua.

Theo Công ty Bkav, việc khai thác lỗ hổng trên Viber để vượt qua màn hình khóa (lockscreen) của các điện thoại Android rất đơn giản, dù đối với mỗi dòng máy phương thức khai thác có khác nhau đôi chút. Cụ thể, hacker chỉ cần vài thao tác với các popup (cửa sổ) tin nhắn mới của Viber kết hợp cùng một số thủ thuật nhỏ như sử dụng Notification Bar (thanh thông báo) của điện thoại để gửi tin nhắn Viber cho nạn nhân là có thể truy cập hoàn toàn thiết bị và sử dụng mọi ứng dụng, tính năng trên điện thoại giống như chủ nhân của máy.

Các dòng smartphone của tất cả các hãng đều có thể bị khai thác với lỗi này của Viber.

Ông Nguyễn Minh Đức, giám đốc bộ phận an ninh mạng của Bkav, phân tích: “Cách Viber xử lí popup tin nhắn để đưa ra ngoài màn hình khóa không phải là cách làm thông thường. Nó dẫn tới việc không kiểm soát được logic lập trình và gây ra lỗ hổng. Sự nguy hiểm của loại lỗ hổng này là kẻ xấu có thể cài đặt các phần mềm nghe lén, gián điệp lên điện thoại hoặc đánh cắp dữ liệu mà người sử dụng không hề hay biết”.

Đại diện Viber đã xác nhận lỗi bảo mật trên và cho biết công ty đang khắc phục. Viber đã đưa ra bản vá lỗi từ ngày 26/4 trên website của họ với phiên bản 2.3.7, nhưng vẫn chưa cập nhật tại Google Play. Cho đến nay (3/5/2013), bản chính thức mới nhất của Viber là 2.3.6.338, phát hành ngày 18/3/2013.

Trong khi nhà sản xuất chưa đưa ra bản vá chính thức, Bkav khuyến cáo điện thoại di động nên là vật bất li thân và không được để người khác, dù quen biết, tùy ý sử dụng. Đồng thời người dùng nên thường xuyên theo dõi thông tin để cập nhật bản vá ngay khi được đưa ra.

Bạn có dùng ứng dụng nhắn tin di động (OTT)?

  • Có, ai cũng dùng, cũng phải dùng
  • Có, nhắn tin miễn phí lại tiện lợi
  • Không, ngại này nọ (bảo mật...)
  • Nó là gì vậy?

Theo Nhịp Sống Số (TTO)




Bình luận

  • TTCN (1)
Hải Nam  30903

Trong khi nhà sản xuất chưa đưa ra bản vá chính thức, Bkav khuyến cáo điện thoại di động nên là vật bất li thân và không được để người khác, dù quen biết, tùy ý sử dụng.

Cái này có liên quan gì đến lỗi khóa màn hình nhỉ? Điện thoại khóa mà đưa người khác sử dụng thì mình phải mở khóa trước, hoặc nói code cho họ chứ.