Android lại “dính” lỗ hổng bảo mật nghiêm trọng

Mai Phương Lý10:40 17/04/2014

Hãng bảo mật FireEye đã phát hiện một lỗ hổng bảo mật lớn trên hệ điều hành di động Google. Kẻ tấn công có thể lợi dụng lỗ hổng này để ăn cắp thông tin của người dùng.

Lỗi bảo mật lần này liên quan tới biểu tượng ứng dụng ở launcher của Android. Hacker có thể hướng người dùng tới một trang web độc, từ đó thu thập dữ liệu cá nhân của họ. Hiện chưa rõ đã có bất cứ ứng dụng nào lợi dụng sơ hở này để thực hiện hành vi phạm tội hay chưa. Google đã được thông báo về lỗi mới và đã đưa bản sửa lỗi cho các hãng điện thoại. Tuy nhiên, sẽ phải mất thời gian trước khi các thiết bị Android bị ảnh hưởng được vá lỗi.

“Rất nhiều hãng điện thoại Android rất chậm chạp trong việc vá lỗi bảo mật. Chúng tôi mong muốn các hãng thực hiện công việc này nhanh chóng hơn để bảo vệ người dùng của họ”, FireEye cho biết.

Video đang HOT

Để minh họa cho lỗi mới phát hiện, FireEye đã đưa ứng dụng của mình lên CH Play để chứng minh rằng bộ lọc của Google không thể ngăn các ứng dụng lừa đảo được đưa lên gian hàng online. Một khi được cài, ứng dụng này có thể sử dụng biểu tượng của một ứng dụng khác. Nạn nhân có thể là một ứng dụng ngân hàng qua di động. Điều này có thể dễ dàng đánh lừa người dùng, đưa họ đến một trang web độc và yêu cầu nhập thông tin nhạy cảm.

Ứng dụng độc của FireEye không yêu cầu bất cứ quyền (permission) bất thường nào. Hãng bảo mật này đã demo trên Nexus 7 chạy Android 4.4.2. Công ty cho biết lỗ hổng bảo mật kia có thể bị lợi dụng trên nhiều thiết bị, bao gồm cả những thiết bị không dùng launcher AOSP của Android. Cụ thể, công ty đã thử nghiệm trên Galaxy S4 chạy Android 4.3 với launcher TouchWiz, HTC One chạy Android 4.4.2 với launcher BlinkFeed và kể cả Nexus 7 với launcher của CyanogenMod 11 và… tất cả đều bị ứng dụng lừa đảo này qua mặt!

Theo BGR

VNCERT hướng dẫn cơ quan Nhà nước khắc phục hậu quả lỗ hổng Heartbleed

Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) vừa gửi công văn tới các Sở TT&TT, các đơn vị chuyên trách CNTT của Bộ, cơ quan ngang Bộ hướng dẫn cách khắc phục lỗ hổng Heartbleed của bộ thư viện mở OpenSSL.

Trong công văn đã nêu đích danh những phiên bản thư viện OpenSSL bị dính lỗ hổng Heartbleed là các phiên bản 1.0.1x bao gồm: 1.0.1, 1.0.1-beta1, 1.0.1-beta2, 1.0.1-beta3, 1.0.1a, 1.0.1b, 1.0.1c, 1.0.1d, 1.0.1e, 1.0.1f.

VNCERT cũng dẫn công bố của hãng Codenomicon về một số phiên bản hệ điều hành Linux có sử dụng các phiên bản OpenSSL bị lỗi cần cập nhật nâng cấp để đảm bảo an toàn khi sử dụng, gồm: Debian Wheezy (bản stable), Ubuntu 12.04.4 LTS, CentOS 6.5, Fedora 18, OpenBSD 5.3 và 5.4, FreeBSD 10.0, NetBSD 5.0.2, OpenSUSE 12.2.

Khai thác lỗ hổng HeartBleed, tin tặc có thể đánh cắp từ xa các dữ liệu nhạy cảm trong bộ nhớ. Ảnh minh họa. Ảnh: Internet.

VNCERT đánh giá đây là một trong những lỗi an toàn thông tin rất nghiêm trọng, phạm vi ảnh hưởng rộng, có khả năng gây mất thông tin trong nhiều ứng dụng tài chính, ngân hàng, thư điện tử... có sử dụng giao thức truyền tin siêu văn bản an toàn HTTPS sử dụng giao thức TLS của thư viện OpenSSL có lỗi để mã hóa dữ liệu trên đường truyền.

Theo khuyến cáo của VNCERT, muốn biết hệ thống có bị lỗi OpenSSL hay không, các cơ quan, tổ chức cần thực hiện lệnh "openssl version", sau đó đối chiếu phiên bản OpenSSL do hệ thống trả về với danh sách phiên bản OpenSSL có lỗi.

Cách tốt nhất để khắc phục lỗi an toàn thông tin đặc biệt nghiêm trọng nêu trên là nâng cấp thư viện OpenSSL lên phiên bản mới nhất (hiện tại là phiên bản 1.0.1g). Bên cạnh đó, để ngăn chặn tin tặc lợi dụng khai thác thông tin, có thể áp dụng biện pháp cập nhật cơ sở dữ liệu của các thiết bị IPS hoặc IDS để phát hiện và ngắt truy cập tấn công khai thác điểm yếu lỗ hổng.

Theo ICTnews

Nhà Trắng cho phép NSA khai thác lỗ hổng bảo mật Internet để thu thập tình báo Khi phát hiện một lỗ hổng bảo mật trên Internet, thay vì thông báo công khai ra cộng đồng để mọi người biết và phòng ngừa, Nhà Trắng lại cho phép Cơ quan An ninh Quốc gia (NSA) sử dụng và khai thác lỗ hổng bảo mật này cho các hoạt động tình báo. Theo một báo cáo vừa được tiết lộ bởi...

Bạn thấy bài viết này có hữu ích không?

Có

Không

Tin liên quan

Chủ đề: lỗ hổng bảo mật fireeye

Xem thêm Share

Xem nhiều

Các thương hiệu lớn Trung Quốc rủ nhau rời xa Android?08:38

iPhone có một tính năng không phải ai cũng biết00:36

Câu chuyện thú vị về bài hát khiến Windows 'đứng hình'02:25

Lý do bất ngờ khiến Windows 7 khởi động chậm chạp06:56

Canh bạc AI của Apple nhằm 'hạ bệ' Samsung08:44

Vì sao pin smartphone Android kém hơn sau khi cập nhật phần mềm02:20

Windows 11 chiếm bao nhiêu dung lượng ổ cứng?01:07

5 điều nhà sản xuất smartphone không nói cho người mua08:58

One UI 7 đến với dòng Galaxy S2103:50

Tiêu điểm

Tin đang nóng

Tin mới nhất

Người dùng điện thoại Android sẽ được nâng cấp tính năng chống lừa đảo

13:48:01 15/05/2025

Android 16 đã chính thức được công bố tại sự kiện đặc biệt The Android Show, hứa hẹn mang đến những thay đổi đáng kể cho trải nghiệm di động.

Google DeepMind công bố AI khoa học 'đột phá'

10:35:07 15/05/2025

Theo Pushmeet Kohli, Giám đốc khoa học của DeepMind, bên cạnh việc sử dụng hệ thống để tìm ra giải pháp cho các bài toán mở, DeepMind đã áp dụng kỹ thuật trí tuệ nhân tạo (AI) này vào những thách thức thực tế của chính họ.

Apple dùng AI cải thiện thời gian sử dụng pin cho iPhone

17:14:57 14/05/2025

Apple đang chuẩn bị cho một bước tiến mới trong lĩnh vực trí tuệ nhân tạo (AI) khi có kế hoạch áp dụng AI để cải thiện quản lý thời gian sử dụng pin trên iPhone.

Robot hình người của Trung Quốc 'bắt chước' vươn vai như con người

09:39:39 14/05/2025

Ngoài ra, nó cũng thực hiện các hành động khác như kéo tay vào ngực và xoay hông sang hai bên. Gần cuối video, CL-3 còn thực hiện các hành động khác như vung tay, cúi người sang bên và gập tay.

One UI 7 là dấu chấm hết cho Galaxy A14

19:20:26 13/05/2025

Samsung vừa chính thức phát hành bản cập nhật One UI 7 cho các mẫu smartphone trong dòng Galaxy A, bao gồm Galaxy A35, A36 và A55.

Galaxy AI trên Galaxy S25 series đồng hành cùng người trẻ cải thiện giấc ngủ

18:52:49 13/05/2025

Khi ngày càng nhiều người trẻ gặp khó khăn trong việc kiểm soát giấc ngủ, Galaxy AI trở thành một trong các giải pháp theo dõi và hỗ trợ điều chỉnh thói quen nghỉ ngơi hiệu quả.

Tại sao iPhone không sử dụng quạt làm mát?

18:46:38 13/05/2025

Có thể người dùng chưa bao giờ đặt câu hỏi này nhưng nội dung bài viết sẽ giúp chúng ta hiểu rõ hơn về lý do iPhone không trang bị quạt làm mát.

Đột phá với tấm pin năng lượng mặt trời làm từ vật liệu không ngờ

08:56:00 13/05/2025

Nhóm nghiên cứu lạc quan rằng bước đột phá này sẽ mở đường cho việc thương mại hóa pin năng lượng mặt trời kesterite vào năm 2030.

Hơn 40 lỗ hổng được phát hiện trong diễn tập thực chiến an ninh mạng toàn quốc lần đầu

08:40:15 13/05/2025

Trong đó, hoạt động diễn tập thực chiến định kỳ là nhiệm vụ trọng tâm của Liên minh, nhằm đảm bảo tính sẵn sàng và khả năng phối hợp nhuần nhuyễn giữa các thành viên khi có sự cố xảy ra.

Tiết lộ mới về iOS 19

18:33:44 12/05/2025

Nguồn tin từ Bloomberg tiết lộ Apple đang chuẩn bị một cải tiến nhỏ nhưng hữu ích trên hệ điều hành iOS 19.Tính năng này liên quan đến khả năng kết nối WiFi công cộng, chẳng hạn như ở khách sạn, nhà hàng hoặc phòng tập thể dục.

Google triển khai loạt biện pháp chống lừa đảo bằng AI

12:03:03 12/05/2025

Người dùng có thể lựa chọn hủy đăng ký nhận thông báo hoặc tiếp tục xem nội dung bị chặn. Nếu cho rằng cảnh báo là sai lệch, người dùng vẫn có thể cho phép nhận thông báo từ trang web đó trong tương lai.

Tốc độ mạng 5G tại Việt Nam cải thiện mạnh mẽ

12:02:20 12/05/2025

Đà Nẵng tiếp tục giữ vững ngôi đầu về chất lượng mạng 5G với tốc độ trung bình đạt 393,84 Mbps, vượt qua TP Hồ Chí Minh, Cần Thơ và Hải Phòng. Điều này cho thấy dịch vụ 5G đã đạt mức ổn định tại các đô thị lớn và khu vực phát triển kinh...