Google Play Core Library chứa lỗ hổng nguy hiểm

Phong Đỗ17:26 12/12/2020

Cửa hàng ứng dụng của Android có thể dễ dàng bị tấn công khai thác bảo mật từ các lỗ hổng lõi thư viện.

Nhiều ứng dụng trên Google Play Store chưa cập nhật Play Core Library

Google luôn quảng cáo Google Play Store không chỉ là cửa hàng ứng dụng Android mà còn là nguồn ứng dụng đáng tin cậy và an toàn. Nhưng phía sau nó vẫn còn nhiều mã bị khai thác và tấn công. Mặc dù Google đã vá một lỗ hổng bảo mật gần đây trong Google Play Core Library, nhưng các nhà phát triển ứng dụng lại không thực hiện tròn trách nhiệm của mình và khiến ứng dụng của chính họ và người dùng gặp rủi ro.

Video đang HOT

Google Play Core Library là một trong những thành phần cơ bản nhất của các dịch vụ di động của Google mà ứng dụng Android, có thể giúp nhà phát triển và người dùng dễ dàng hơn trong trải nghiệm. Nó cung cấp các chức năng như tải xuống ngôn ngữ, nội dung hoặc tính năng bổ sung mà không cần phải cập nhật ứng dụng từ Google Play Store. Khá nhiều ứng dụng Android trong Play Store sử dụng các chức năng này, làm cho Play Core Library trở thành một phần quan trọng của bất kỳ ứng dụng Android nào.

Một lỗ hổng nghiêm trọng trong Play Core Library đã lợi dụng chức năng đó để khiến thư viện thực thi mã độc. Check Point Research đã phân tích chi tiết về cách thức hoạt động của việc khai thác và nó là một lỗ hổng khá đáng sợ nếu không được khắc phục. Google đã vá Play Core Library vào tháng 4.2019 trước khi lỗ hổng bảo mật được tiết lộ công khai vào tháng 8 năm nay.

Tuy nhiên các nhà nghiên cứu bảo mật cảnh báo các nhà phát triển ứng dụng vẫn chưa cập nhật lên phiên bản mới nhất của Play Core Library của Google Play. Không giống như các bản sửa lỗi phía máy chủ mà Google thực hiện tất cả thao tác, loại bản sửa lỗi này phải được các nhà phát triển ứng dụng áp dụng bằng cách cập nhật ứng dụng của họ để sử dụng phiên bản cố định của thư viện. Hiện có 13% số ứng dụng trên Play Store chưa thực hiện bản cập nhật quan trọng này.

Điều này có nghĩa là các ứng dụng và người dùng này vẫn dễ bị tấn công bởi lỗ hổng bảo mật mà các chuyên gia bảo mật cũng như tin tặc đã biết. Trong khi một số nhà phát triển đã cập nhật ứng dụng của họ, một số ứng dụng phổ biến như Microsoft Edge, Moovit và Cyberlink PowerDirector thì vẫn chưa.

Google vá lỗ hổng zero-day trên Chrome lần thứ hai trong hai tuần

Hiện tại, phiên bản Google Chrome 86.0.4240.183 đã có sẵn để tải về. Nó vá 10 lỗ hổng bảo mật, trong đó có một lỗ hổng zero-day đang được khai thác.

Chỉ trong 2 tuần, Google khám phá hai lỗ hổng zero-day trên trình duyệt Chrome.

Google vừa tung ra bản cập nhật bảo mật mới nhất dành cho trình duyệt Chrome, vá 10 lỗ hổng, bao gồm một lỗ hổng zero-day vẫn đang được khai thác ngoài thực tế. Được xác định là CVE-2020-16009, lỗ hổng zero-day này do nhóm phân tích nguy cơ TAG của Google phát hiện. Đây là nhóm bảo mật có trách nhiệm theo dõi các thế lực xấu và hoạt động đang diễn ra của họ.

Theo đúng truyền thống Google, chi tiết về lỗ hổng bảo mật và nhóm khai thác lỗ hổng không được công khai. Nó giúp người dùng Chrome có thêm thời gian cài đặt cập nhật và ngăn chặn thế lực xấu khác phát triển phương thức tấn công riêng dựa trên cùng một lỗ hổng zero-day. Người dùng Chrome được khuyến nghị nâng cấp trình duyệt ngay.

Theo ZDN, đây là lỗ hổng zero-day trên Chrome thứ hai mà Google phát hiện đã bị khai thác trong 2 tuần qua. Vào ngày 20/10, Google cũng phát hành cập nhật bảo mật cho Chrome, vá lỗ hổng zero-day CVE-2020-15999 nằm trong thư viện phân giải phông chữ (font rendering library). Nó có thể kết hợp với lỗ hổng zero-day trên Windows CVE-2020-17087.

Lỗ hổng zero-day trên Chrome cho phép thực thi mã độc bên trong trình duyệt, còn lỗ hổng Windows được dùng để tăng quyền và tấn công hệ điều hành. Microsoft dự kiến vá lỗ hổng này vào ngày 10/11.

Google Chrome là trình duyệt web đứng đầu thế giới về thị phần. Theo thống kê hồi tháng 5, Chrome chiếm 69% thị phần trình duyệt toàn cầu. Tại Việt Nam, số người dùng trình duyệt của Google cũng áp đảo. Do vậy, người dùng Internet Việt Nam cũng nên cập nhật phần mềm này để tránh nguy cơ bị hacker khai thác.

21 ứng dụng Android với 8 triệu lượt tải có phần mềm độc hại cần gỡ ngay Hãng phần mềm diệt virus nổi tiếng Avast vừa cảnh báo 21 ứng dụng Android có phần mềm độc hại cần phải được gỡ ngay. Avast, một nhà sản xuất phần mềm diệt virus có trụ sở tại CH Séc, đã đưa ra danh sách 21 ứng dụng Android trên Google Play Store có chứa phần mềm quảng cáo ẩn HiddenAds. Đây không...

Bạn thấy bài viết này có hữu ích không?

Có;

Không

Tin liên quan

Xem thêm Share

Xem nhiều

Từ Hàn Quốc về mà không báo ai, chàng trai bị mẹ "tát không trượt phát nào"01:12

Cận cảnh Quang Hải cầm xấp tiền, đếm rồi lì xì cho mẹ vợ, dân mạng "chỉ biết ước" nhưng vẫn góp ý 1 điều01:04

Đoạn clip 22 giây ghi lại khoảnh khắc cậu bé phi nhanh như mũi tên bắn hot rần rần, netizen xúc động mãi không thôi00:22

Sơn Tùng tung 1 đoạn clip tối 27 Tết mà khiến dân tình dọn nhà tỉnh táo hẳn!05:26

Sao nam Vbiz về ăn Tết nhưng bị bố mẹ doạ đuổi ra khỏi nhà, chuyện gì đây?01:23

Đường dây lừa đảo 13.000 người: Biệt danh ACE của 3 quản lý cấp cao02:36

Trung Quốc tung chatbot đấu ChatGPT, cổ phiếu Phố Wall chao đảo bốc hơi 1.000 tỉ14:53

"Anh ơi, chạy đi còn kịp" - tiếng la thất thanh cùng pha dập lửa bình gas bốc cháy ngùn ngụt khiến ai cũng tái mặt03:56

Lọ Lem - Hạt Dẻ bất giác bị bố Quyền Linh bắt gặp, lộ nhan sắc và tính cách thật00:53

Ca sĩ Hiền Thục phát hành 2 MV giới thiệu cảnh đẹp Việt Nam04:14

Căng nhất mùa Tết: Thí sinh Rap Việt đòi nợ công ty cũ!05:29

Tin đang nóng

Tin mới nhất

Nâng cao và biến đổi hình ảnh của bạn bằng trình chỉnh sửa video trực tuyến CapCut

15:45:56 16/01/2024

Đã đến lúc bỏ lại các công cụ chỉnh sửa cũ và chấp nhận giải pháp thay đổi cuộc chơi. Gặp gỡ Trình chỉnh sửa video trực tuyến CapCut - giải pháp sẽ nâng cao, nâng cao và cách mạng hóa thế giới sáng tạo nội dung trực quan của bạn

Cách đăng Facebook để có nhiều lượt thích và chia sẻ

22:01:27 21/12/2022

Chắc hẳn là ai trong chúng ta cũng luôn muốn các bài đăng trên Facebook có được nhiều lượt thích và chia sẻ. Tuy nhiên, làm thế nào để tối ưu bài đăng thì không phải ai cũng biết

Thêm nhiều bang của Mỹ cấm TikTok

21:03:46 21/12/2022

Louisiana và Tây Virginia là hai bang mới nhất cấm công chức sử dụng TikTok trên thiết bị công do lo ngại Trung Quốc có thể theo dõi người Mỹ và kiểm duyệt nội dung

Microsoft cấm khai thác tiền điện tử trên các dịch vụ đám mây để bảo vệ khách hàng

20:03:41 21/12/2022

Microsoft đã cập nhật thỏa thuận cấm khai thác tiền điện tử trên các dịch vụ trực tuyến của mình. Việc khai thác tiền điện tử trên dịch vụ của Microsoft cần có sự cho phép bằng văn bản của công ty, nhưng cũng chỉ nhằm mục đích thử nghiệ...

Facebook trấn áp hàng loạt công ty phần mềm gián điệp

20:01:24 21/12/2022

Meta (công ty mẹ của Facebook) cho biết họ đã ngăn chặn không dưới 200 hoạt động bí mật, trấn áp hàng loạt công ty phần mềm gián điệp kể từ năm 2017 tại khoảng 70 quốc gia

Meta đối mặt cáo buộc vi phạm các quy tắc chống độc quyền với mức phạt 11,8 tỷ đô

19:01:39 21/12/2022

Ủy ban Châu Âu - cơ quan điều hành của EU cho biết, đã phát hiện Meta vi phạm các quy tắc chống độc quyền của EU bằng cách bóp méo sự cạnh tranh trên thị trường quảng cáo trực tuyến. Meta có thể phải đối mặt với khoản tiền phạt lên tới ...

Không cần thăm dò, Musk nên sớm từ chức CEO Twitter

15:01:33 21/12/2022

Người dùng Twitter, các nhà đầu tư Tesla và chuyên gia phân tích trong ngành đều cho rằng Elon Musk nên sớm từ chức CEO Twitter

Đại lý Việt nhập iPhone 14 kiểu 'bia kèm lạc'

14:01:42 21/12/2022

Muốn nhập được các mẫu bán chạy như iPhone 14 Pro/Pro Max, các chuỗi đại lý bán lẻ ủy quyền của Apple bắt buộc phải nhập thêm hàng loạt phụ kiện đi kèm

Khai trương hệ thống vé điện tử và dịch vụ trải nghiệm thực tế ảo XR tại Quần thể Di tích Cố đô Huế

09:38:18 21/12/2022

Sáng 20/12, tại Ngọ Môn, Đại Nội Huế, Trung tâm Bảo tồn Di tích Cố đô Huế đã tổ chức Lễ Khai trương Hệ thống vé điện tử và dịch vụ trải nghiệm thực tế ảo XR

'Dở khóc dở cười' với tính năng trợ giúp người bị tai nạn ôtô của Apple

09:37:54 21/12/2022

Tính năng phát hiện tai nạn ôtô mới ra mắt trên Apple iPhone và Apple Watch sẽ tự động tìm kiếm sự trợ giúp từ bộ phận cấp cứu khi có nguy cơ xảy ra tai nạn

Xiaomi sa thải hàng nghìn nhân sự

09:35:12 21/12/2022

Gã khổng lồ smartphone Trung Quốc Xiaomi đang lên kế hoạch sa thải 15% trong số hơn 30.000 nhân sự trong bối cảnh công ty gặp khó khăn

Apple sẽ bắt đầu sản xuất MacBook tại Việt Nam vào giữa năm 2023

09:34:00 21/12/2022

Đối với Trung Quốc, việc mất vị trí độc quyền sản xuất MacBook tượng trưng cho vị thế công xưởng thế giới của Trung Quốc đang bị suy yếu

Có thể bạn quan tâm

Nhiều ca nghi mắc sởi và sốt xuất huyết trong những ngày đầu nghỉ tết

Sức khỏe

22:01:17 30/01/2025

Về tình hình dịch bệnh, Bộ Y tế nêu rõ, trong 3 ngày nghỉ tết vừa qua, toàn quốc chưa ghi nhận ổ dịch, chùm ca bệnh truyền nhiễm nguy hiểm lây lan trong cộng đồng.

Vụ va chạm máy bay tại Mỹ: Tìm thấy 19 thi thể tại hiện trường

Thế giới

21:36:07 30/01/2025

Ngay sau đó, một bộ phận kiểm soát không lưu đã lệnh cho các máy bay đang hướng đến đường băng 33 tại sân bay quốc gia Ronald Reagan Washington phải bay vòng lại.

Xu hướng thể thao kết hợp cộng nghệ trong xã hội hiện đại

Tin nổi bật

20:47:05 30/01/2025

Thể thao đã trở thành một phần không thể thiếu trong cuộc sống hiện đại. Từ việc luyện tập thường xuyên để nâng cao sức khỏe cho đến việc theo dõi các sự kiện thể thao quốc tế, mỗi người ngày càng yêu thích và gắn bó với các môn thể tha...