Hơn 1 tỷ smartphone/tablet Android dính lỗi bảo mật nguy hiểm
Sáu lỗ hổng bảo mật mới được phát hiện trên nền tảng di động của Google, cho thấy nguy cơ đe dọa đến tổng cộng hơn 1 tỷ thiết bị Android hiện nay. Những lỗ hổng này khiến các thiết bị Android trở thành “miếng mồi ngon” của các phần mềm độc hại và dễ bị tổn thương hơn bao giờ hết.
Các nhà nghiên cứu từ Đại học Indiana và Microsoft đã công bố một bản báo cáo mô tả một lớp các lỗ hổng mới trên Android được gọi là sai sót Pileup. Pileup (viết tắt của privilege escalation through updating – tạm dịch là lỗi thêm đặc quyền không cho phép thông qua cập nhật), làm tăng các quyền truy cập cho các ứng dụng độc hại mỗi lần Android được cập nhật, mà không cần thông báo cho người sử dụng.
“Cứ vài tháng, một bản cập nhật lại được phát hành, gây ra sự thay thế và bổ sung hàng chục ngàn tập tin trên một hệ thống đang hoạt động. Mỗi ứng dụng mới được cài lại cần phải được cấu hình một cách cẩn thận để có thể thiết lập thuộc tính của riêng mình và quyền truy cập trong hệ thống, mà không vô tình gây tổn hại đến các ứng dụng và dữ liệu người dùng có sẵn”, các nhà nghiên cứu cho biết. “Điều này làm phức tạp quá trình cài đặt bản cập nhật điện thoại, dễ dẫn tới các lỗ hổng bảo mật quan trọng”.
Video đang HOT
“Thông qua các ứng dụng đang chạy trên một phiên bản thấp hơn của Android, các phần mềm độc hại có thể yêu cầu một loạt các quyền truy cập hoặc các thuộc tính chỉ có trên các phiên bản hệ điều hành cao hơn”, các nhà nghiên cứu cho biết.
Một vấn đề nữa đó là để tối giản và làm giao diện người dùng Android trở nên thuận tiện để sử dụng hơn, nên thay vì hiển thị các nhắc nhở khi một ứng dụng nào đó đang yêu cầu các quyền truy cập mới, thì hệ thống Android lại cho phép một cách tự động trong chế độ chạy nền mà không để người dùng có bất kỳ can thiệp nào.
Các nhà nghiên cứu tuyên bố đã phát hiện ra sáu lỗ hổng Pileup khác nhau trong dịch vụ quản lý trọn gói Android (PMS), và đã xác nhận rằng lỗ hổng này có mặt trong tất cả các phiên bản dự án mã nguồn mở Android, cùng với hơn 3.500 phiên bản tùy biến của Android được phát triển bởi các nhà sản xuất thiết bị cầm tay và các nhà mạng. Tổng cộng, các nhà nghiên cứu cho rằng các lỗ hổng này sẽ đặt hơn một tỷ thiết bị Android vào nguy cơ dễ bị tấn công Pileup, tức là hầu hết các thiết bị chạy Android đều dính lỗi.
Các nhà nghiên cứu cũng đã giới thiệu một công cụ quét mới có tên gọi là SecUP có khả năng phát hiện các ứng dụng độc hại đã được cài trên một thiết bị trước đó và đang yêu cầu các quyền truy cập nâng cao một cách bất thường. Công cụ này sẽ kiểm tra mã nguồn của PMS (từ các phiên bản Android khác nhau) để xác định hành vi bất thường của ứng dụng.
Được biết, tất cả các vấn đề này đã được cảnh báo cho Google, và hãng hiện đã vá được một trong sáu lỗ hổng nói trên.
Theo ZDNet
iOS 7 lại bị phát hiện lỗi bảo mật mới
Mặc dù hệ điều hành iOS của điện thoại iPhone ít bị tổn thương bởi mã độc so với Android, nhưng điều đó không có nghĩa là iOS hoàn toàn miễn nhiễm. Mới đây, một chuyên gia về an ninh mạng có tên là Tarjei Mandt đã tuyên bố rằng, hệ điều hành iOS 7 có tính bảo mật kém hơn so với iOS 6. Nó tồn tại nhiều lỗ hổng có thể tạo điều kiện cho kẻ xấu xâm nhập.
Trước đây khi giới thiệu về iOS 7, Apple cho biết đã có sự thay đổi phần nhân của hệ điều hành này so với phiên bản trước. Sự thay đổi này đồng nghĩa với việc tăng khả năng bảo mật. Tuy nhiên, ông Tarjei Mandt lại cam đoan rằng hệ điều hành mới kém an toàn hơn.
Phần nhân là một cấu trúc căn bản của hệ điều hành. Nó giống như một chiếc chìa khóa cho phần mềm khi nó kiểm soát các chức năng quan trọng như bảo mật và quản lý file.
Tarjei cho rằng, Apple đã sai lầm khi thay đổi mô đun sản sinh số ngẫu nhiên của phần nhân. Mô đun này có nhiệm vụ tạo ra các dãy số ngẫu nhiên khác nhau khó đoán để ngăn chặn kẻ xấu xâm nhập. Tuy nhiên các con số sinh ra trong iOS 7 dễ đoán hơn so với iOS 6 bởi vì nó sử dụng thuật toán đệ quy tuyến tính. Như vậy nếu hacker tìm được đường vào phần nhân của iOS 7 thì người sử dụng iPhone và iPad sẽ đứng trước nguy cơ máy của mình bị gài mã độc.
Thời điểm mà Apple công bố ra mắt bản cập nhật iOS 7.1 cũng là lúc Tarjei đã công bố về lỗ hổng iOS 7 trong bài phát biểu của mình tại hội thảo CanSec West ở Vancouver. Trong khi đó, Apple chưa đưa ra phản hồi chính thức nào với tuyên bố của Tarjei. Nhưng theo tạp chí CNet, các kỹ sư bảo mật của Apple tham dự hội thảo trên đã tiếp xúc với Tarjei ngay sau khi ông phát biểu xong.
Đăng Khoa
Theo Business Insider
Nhiều thiết bị di động Samsung Galaxy dính lỗi bảo mật Một lập trình viên Mỹ vừa phát hiện lỗ hổng bảo mật dạng "cửa sau" (backdoor) có trong một số thiết bị thuộc gia đình Galaxy của Hãng điện tử Hàn Quốc Samsung. Galaxy Tab 2 phiên bản 10.1-inch là một trong những thiết bị Galaxy được cho là mắc lỗi cửa hậu - Ảnh: Cnet Paul Kocialkowski, một lập trình viên Android...