Kỹ sư Việt ‘vá’ lỗ hổng bảo mật, thắng lớn tại cuộc thi hàng đầu thế giới

Anh Vũ18:59 15/12/2022

Nhóm kỹ sư Việt đã khai thác lỗ hổng và giành giải bảo mật hơn 80.000 USD tại Pwn2Own – một trong những cuộc thi bảo mật lâu đời và lớn nhất thế giới .

Đội “Team Viettel” đến từ Việt Nam đứng thứ hai bảng xếp hạng của Pwn2Own (Ảnh chụp màn hình).

Pwn2Own là một trong những cuộc thi bảo mật lâu đời và lớn nhất thế giới, được Zero Day Initiative tổ chức thường niên từ 2007. Chủ đề trong đợt thi lần này là tìm lỗ hổng trong thiết bị thông minh, nhắm đến các mục tiêu được sử dụng thường xuyên trong nhà hoặc văn phòng như điện thoại di động, bộ định tuyến không dây, máy in, loa thông minh.

Trong bốn ngày, mỗi ngày đội đến từ Việt Nam đều khai thác được từ 1 đến 2 lỗ hổng. Tổng cộng có 5 lỗ hổng được nhóm khai thác, nhắm vào các mục tiêu gồm: máy in Canon , HP, bộ định tuyến TP-Link, Cisco và thiết bị lưu trữ mạng Western Digital.

Năm nay, Pwn2Own có thêm hạng mục SOHO Mashup, mô phỏng lại cuộc tấn công trong một văn phòng nhỏ với hàng loạt thiết bị thông minh kết nối mạng. Thí sinh sẽ phải tấn công vào bộ định tuyến, sau đó nhắm mục tiêu đến các thiết bị tiếp theo trong mạng LAN. Ở phần này, đội thi đến từ Việt Nam đã khai thác thành công lỗ hổng trên router Cisco và máy in Canon. Đây cũng là kết quả cao nhất mà nhóm đạt được trong đợt thi, giúp mang về 7,5 điểm và 37,5 nghìn USD giải thưởng.

Video đang HOT

Được biết, nhóm có 11 người, trong đó có 8 thành viên trẻ, sinh từ 1995 đến 2000. Nhiều người lần đầu tham dự cuộc thi bảo mật tầm cỡ thế giới, nhưng đã có thành tích cạnh tranh với các chuyên gia có tiếng như Star Labs , DevCore.

Ngoài TeamViettel, một đội thi khác là Qrious Secure cũng có thành viên đến từ Việt Nam, gồm Toan Pham and Tri Dang, theo website cuộc thi. Tuy đạt 10,25 điểm và đứng top 5, đội giành gần 90.000 USD tiền thưởng, trong đó riêng lỗ hổng tấn công hệ thống loa Sonos One giúp đội thu về tới 60.000 USD. Ngoài ra, một số thí sinh tham gia cá nhân, như Chi Tran, AnhtuD, Le Tran Hai Tung, đều giành 10.000 USD sau khi khai thác thành công lỗ hổng từ máy in Canon.

Pwn2Own 2022 có 36 đội thi từ 14 quốc gia và vùng lãnh thổ, trong đó có nhiều đội mạnh về bảo mật như Đài Loan, Singapore, Mỹ, Đức, Israel, Hàn Quốc, Ấn Độ,… Sau bốn ngày, cuộc thi tìm ra 63 lỗ hổng zero-day và 989.000 USD giải thưởng được trao.

3 ứng dụng bạn nên xóa nếu không muốn điện thoại bị tấn công từ xa

Theo các nhà nghiên cứu, nhiều lỗ hổng bảo mật vừa được phát hiện bên trong 3 ứng dụng Android, khiến điện thoại bị tấn công từ xa.

Các ứng dụng được đề cập bao gồm Lazy Mouse, PC Keyboard và Telepad. Trước khi bị xóa khỏi cửa hàng Google Play, chúng đã được tải xuống hơn 2 triệu lần, mặc dù vậy các ứng dụng vẫn tồn tại trên trang web riêng của nhà phát triển.

- Lazy Mouse (com.ahmedaay.lazymouse2 và com.ahmedaay.lazymousepro)

- PC Keyboard (com.beapps.pckeyboard)

- Telepad (com.pinchtools.telepad)

Theo Trung tâm Nghiên cứu An ninh mạng Synopsys (CyRC), các ứng dụng này được quảng cáo giúp biến điện thoại thông minh thành bàn phím và chuột không dây cho máy tính. Tuy nhiên, các nhà nghiên cứu đã tìm thấy tới 7 lỗ hổng liên quan đến tính năng xác thực, thiếu ủy quyền và giao tiếp không an toàn.

7 lỗ hổng từ CVE-2022-45477 đến CVE-2022-45483 có thể bị kẻ gian lợi dụng để thực hiện các lệnh lừa đảo, thu thập thông tin người dùng nhạy cảm từ xa.

Điều đáng chú ý là không có ứng dụng nào nhận được bất kỳ bản cập nhật nào trong hơn 2 năm, điều này đồng nghĩa với việc bạn chỉ có thể xóa ứng dụng ngay lập tức để tránh bị tấn công.

"3 ứng dụng này được sử dụng rộng rãi nhưng chúng không được duy trì cũng như không được hỗ trợ, và rõ ràng, bảo mật không phải là một yếu tố được quan tâm khi các ứng dụng này được phát triển", nhà nghiên cứu bảo mật Mohammed Alshehri của Synopsys cho biết.

Để xóa 3 ứng dụng kể trên (nếu bạn đã lỡ cài đặt trước đó), bạn hãy truy cập vào Settings (cài đặt) - Apps (ứng dụng) - Manage apps (quản lý ứng dụng), tìm tên 3 ứng dụng và nhấn Uninstall (gỡ cài đặt).

Trước đó không lâu, các nhà nghiên cứu bảo mật tại Zimperium đã phát hiện ra một chiến dịch phần mềm độc hại được tiến hành từ năm 2018, khiến hơn 300.000 người có nguy cơ bị mất Facebook.

Theo báo cáo, phần mềm độc hại đã giả mạo là ứng dụng giáo dục Schoolyard Bully hoặc đọc truyện, lây nhiễm cho hàng trăm ngàn thiết bị ở 71 quốc gia, chủ yếu tập trung tại Việt Nam.

Con số này chỉ là ước tính ban đầu, bởi lẽ còn đến 37 ứng dụng nằm trong chiến dịch lần này được phân phối thông qua các cửa hàng của bên thứ ba, do đó, số lượng nạn nhân sẽ cao hơn thực tế khá nhiều.

Những người đứng sau Schoolyard Bully vẫn chưa được tiết lộ, tuy nhiên, các nhà phân tích cho rằng phần mềm độc hại được phát hiện lần này không liên quan đến FlyTrap, một loại Trojan được thiết kế đánh cắp tài khoản Facebook chủ yếu tại Việt Nam.

Hy vọng với những thông tin mà Kỷ Nguyên Số vừa cung cấp, bạn đọc sẽ biết cách gỡ cài đặt ứng dụng Lazy Mouse, PC Keyboard và Telepad, hạn chế tình trạng bị tấn công từ xa trong tương lai.

Cảnh báo hàng loạt lỗ hổng bảo mật nghiêm trọng trong các sản phẩm của Microsoft Nhiều lỗ hổng bảo mật có mức độ ảnh hưởng cao và nghiêm trọng, trong đó có những lỗ hổng đang bị khai thác trong thực tế. Do đó, các đơn vị, doanh nghiệp cần kiểm tra, rà soát, xác định máy sử dụng hệ điều hành Windows có khả năng bị ảnh hưởng, cập nhật bản vá kịp thời để tránh nguy...

Bạn thấy bài viết này có hữu ích không?

Có

Không

Tin liên quan

Xem thêm Share

Xem nhiều

Hiện trường vụ 3 người trong một nhà bị sát hại ở Đắk Lắk01:14

Người gốc Việt nổ súng ngăn vụ cướp tiệm vàng ở California01:48

Chân dung nghi phạm 22 tuổi ám sát đồng minh của Tổng thống Mỹ Donald Trump03:08

Thương hiệu kinh dị 'trăm tỷ' của Thái Lan - 'Tee Yod: Quỷ ăn tạng' trở lại với phần 3, hứa hẹn kinh dị gấp 3!01:42

Phó Tổng thống Mỹ khiêng quan tài của nhà hoạt động bị ám sát01:40

Thuý Kiều, Thuý Vân trở thành tân bác sĩ nội trú00:18

Yêu cô gái 1m2, chàng trai Thanh Hóa vượt 1.300km về ở rể và cái kết00:51

Vụ thảm án ở Đắk Lắk: Bé trai thoát chết nhờ trèo qua tường, trên người nhiều vết dao đâm08:05

Diễn viên Huỳnh Anh Tuấn gặp 'biến cố', 'mất tích' khỏi MXH, netizen 'hoảng sợ'02:49

Con gái Hoa hậu Thùy Lâm 12 tuổi cao vượt trội, nhan sắc có vượt mặt Lọ Lem?02:59

Lindo rời team châu Phi hậu Quang Linh gặp chuyện, nói 1 câu ai cũng xót xa02:57

Tiêu điểm

Tin đang nóng

Tin mới nhất

Ra mắt nền tảng AI hợp nhất 'Make in Viet Nam'

20:04:56 12/09/2025

Người dùng có thể dễ dàng so sánh, lựa chọn kết quả giữa nhiều mô hình AI, tận dụng khả năng tạo sinh hình ảnh và tri thức mới, qua đó nâng cao hiệu quả sáng tạo, quản trị và năng suất cho tổ chức, doanh nghiệp, hộ kinh doanh và gia đìn...

ShinyHunters và các vụ tấn công mạng đánh cắp dữ liệu gây chấn động

20:02:44 12/09/2025

Google Threat Intelligence Group là bộ phận của Google chuyên nghiên cứu, phân tích và cung cấp thông tin tình báo về các mối đe dọa an ninh mạng trên toàn cầu. Nhiệm vụ chính của Google Threat Intelligence Group:

17 cách biến ChatGPT thành trợ lý miễn phí

11:17:16 12/09/2025

Muốn ChatGPT trả lời đúng ý, nhanh và chất lượng hơn? Bí quyết nằm ở cách viết câu lệnh (prompt). Dưới đây là 17 nguyên tắc vàng giúp người dùng Việt khai thác AI thông minh và hiệu quả.

Bạn đã khai thác hết tiềm năng của dữ liệu bán lẻ?

10:25:52 12/09/2025

Để triển khai thành công RMN cần có các chuỗi hoạt động tích hợp và chia sẻ dữ liệu trong các hệ thống nội bộ. Các cơ hội tốt nhất và có nhiều rủi ro nhất nằm trong quá trình mở rộng tiềm năng hợp tác với các doanh nghiệp đối tác.

Samsung ra mắt trợ lý Vision AI tại IFA 2025

16:36:33 11/09/2025

Điểm khác biệt của trợ lý Vision AI chính là khả năng trả lời câu hỏi và yêu cầu bằng các phản hồi trực quan, thông minh từ nhiều AI agent, chỉ với thao tác nhấn nút AI trên điều khiển từ xa.

Ngân hàng và dịch vụ tài chính dẫn đầu về ứng dụng AI và GenAI

16:33:01 11/09/2025

Bất chấp thách thức, doanh nghiệp xem GenAI là một sự đầu tư xứng đáng và là động lực thúc đẩy việc vận hành hiệu quả hơn, tạo ra các mô hình kinh doanh mới.

OpenAI ký thỏa thuận điện toán đám mây lịch sử trị giá 300 tỷ USD với Oracle

16:29:00 11/09/2025

Động thái này trùng thời điểm OpenAI tham gia dự án Stargate, trong đó OpenAI, SoftBank và Oracle cam kết đầu tư 500 tỷ USD xây dựng trung tâm dữ liệu tại Mỹ trong 4 năm tới.

"Xanh hóa" AI: Nhiệm vụ cấp bách cho Đông Nam Á

10:21:58 11/09/2025

Một giải pháp là thiết kế AI thông minh hơn, tinh gọn hơn, bằng cách xây dựng các ứng dụng mang lại kết quả tương tự nhưng với khối lượng xử lý tính toán ít hơn, qua đó giảm nhu cầu về cả hạ tầng và năng lượng.

Nền tảng du lịch trực tuyến chạy đua ứng phó sự trỗi dậy của tác nhân AI

10:18:27 11/09/2025

Đối thủ Expedia cũmh tích hợp các mô hình của OpenAI trong cùng năm và đang triển khai hệ thống tác nhân Operator của công ty này. Operator có khả năng tự động thực hiện các tác vụ trên trình duyệt web theo yêu cầu của người dùng.

NVIDIA và ADI bắt tay thúc đẩy kỷ nguyên robot thông minh

16:12:05 10/09/2025

Song song đó, xu hướng chuyển dịch sang sản xuất thông minh và tự động hóa trong các ngành điện tử, ô tô, logistics sẽ tạo điều kiện để robot hình người tham gia sâu hơn, hỗ trợ thao tác tinh vi và các khâu lặp đi lặp lại với độ chính x...

Cần Thơ sẽ có Trung tâm UAV - Robot phục vụ nông nghiệp thông minh

16:08:46 10/09/2025

Ông Trần Kim Chung, Chủ tịch Tập đoàn CT Group khẳng định, doanh nghiệp sẵn sàng đồng hành trong phát triển công nghệ UAV - Robot, từng bước đưa Việt Nam trở thành trung tâm nông nghiệp thông minh của thế giới.

Doanh nghiệp thương mại điện tử, bán lẻ trở thành mục tiêu ưu tiên của hacker

15:56:18 10/09/2025

Đáng chú ý, các thành phần lõi trong hệ thống CNTT của ngành Bán lẻ - Thương mại điện tử như Website, OMS, API, hệ thống thanh toán, CRM và các cổng tích hợp với bên thứ ba, chính là những điểm nóng thường xuyên bị khai thác.