Công ty bảo mật di động Kryptowire vừa phát hiện các lỗ hổng nguy hiểm trên 10 thiết bị được bán bởi những nhà mạng lớn của Mỹ. Ông Angelos Stavrou - CEO của Kryptowire và giám đốc nghiên cứu Ryan Johnson đã trình bày nghiên cứu của họ tại hội nghị an ninh vừa qua.
Thiệt hại mà các lỗ hổng gây ra có nhiều mức độ, ví dụ như bị khóa thiết bị hoặc bị kẻ gian truy cập vào microphone và các tính năng khác.
Về cơ bản, Android là hệ điều hành mã nguồn mở, do đó các nhà sản xuất hoàn toàn có thể cài đặt thêm các phần mềm bên ngoài vào trước khi xuất xưởng. Điều này không có gì sai nhưng sự thay đổi đó sẽ gây ra nhiều vấn đề. Chẳng hạn như các bản cập nhật bảo mật sẽ phải mất thời gian lâu hơn để đến tay người dùng. Ngoài ra, chúng cũng đem đến những lỗi liên quan đến firmware và khiến người dùng gặp nhiều rủi ro.
Đơn cử như chiếc Asus ZenFone Live. Thiết bị này có thể khiến chủ sở hữu bị xâm nhập toàn bộ hệ thống, bao gồm chụp ảnh màn hình, quay video, gọi điện thoại, đọc và chỉnh sửa tin nhắn...
Lỗ hổng trên Asus ZenFone V Live. Ảnh: Internet
Những cuộc tấn công phần lớn đều yêu cầu người dùng phải tải ứng dụng, không cần yêu cầu quyền hạn, những ứng dụng này vẫn có thể lấy đi tin nhắn, nhật ký cuộc gọi.
Cụ thể, với ZTE Blade Spark và Blade Vantage, lỗi firrmware cho phép bất cứ ứng dụng nào cũng có thể truy cập vào tin nhắn, dữ liệu cuộc gọi và nhật ký cuộc gọi, địa chỉ email, toạ độ GPS... Trên chiếc LG G6, các lỗ hổng có thể làm lộ nhật ký cuộc gọi hoặc có thể sử dụng để khóa người dùng.
LG dường như đã giải quyết được một số vấn đề cơ bản. Công ty này chia sẻ: "LG đã nhận thức được về các lỗ hổng. Đa phần các lỗ hổng được báo cáo đã được vá hoặc đã được đưa vào các bản cập nhật bảo trì theo lịch trình sắp tới”.
Về phần ZTE, công ty cho biết đang làm việc với các nhà mạng để đưa ra bản cập nhật. Theo Stavrou cho biết những bản cập nhật này có thể sẽ mất nhiều tháng để được tạo ra và thử nghiệm. Chúng cần phải trải qua một chuỗi các công đoạn từ nhà sản xuất cho đến nhà mạng rồi mới đến khách hàng. Trong khi bạn chờ đợi, bạn khó có thể làm gì để tự mình giải quyết vấn đề.
Theo một phát ngôn viên của Google đã chia sẻ: "Chúng tôi muốn cảm ơn các nhà nghiên cứu bảo mật tại Kryptowire vì những nỗ lực của họ để củng cố an ninh cho Android. Hệ điều hành Android không bị ảnh hưởng bởi các vấn đề mà họ đã vạch ra. Thay vào đó, nó ảnh hưởng đến code và các ứng dụng của bên thứ ba trên các thiết bị".