Kỹ sư Việt ‘vá’ lỗ hổng bảo mật, thắng lớn tại cuộc thi hàng đầu thế giới

Anh Vũ18:59 15/12/2022

Nhóm kỹ sư Việt đã khai thác lỗ hổng và giành giải bảo mật hơn 80.000 USD tại Pwn2Own – một trong những cuộc thi bảo mật lâu đời và lớn nhất thế giới.

Đội “Team Viettel” đến từ Việt Nam đứng thứ hai bảng xếp hạng của Pwn2Own (Ảnh chụp màn hình).

Pwn2Own là một trong những cuộc thi bảo mật lâu đời và lớn nhất thế giới, được Zero Day Initiative tổ chức thường niên từ 2007. Chủ đề trong đợt thi lần này là tìm lỗ hổng trong thiết bị thông minh, nhắm đến các mục tiêu được sử dụng thường xuyên trong nhà hoặc văn phòng như điện thoại di động, bộ định tuyến không dây, máy in, loa thông minh.

Trong bốn ngày, mỗi ngày đội đến từ Việt Nam đều khai thác được từ 1 đến 2 lỗ hổng. Tổng cộng có 5 lỗ hổng được nhóm khai thác, nhắm vào các mục tiêu gồm: máy in Canon, HP, bộ định tuyến TP-Link, Cisco và thiết bị lưu trữ mạng Western Digital.

Năm nay, Pwn2Own có thêm hạng mục SOHO Mashup, mô phỏng lại cuộc tấn công trong một văn phòng nhỏ với hàng loạt thiết bị thông minh kết nối mạng. Thí sinh sẽ phải tấn công vào bộ định tuyến, sau đó nhắm mục tiêu đến các thiết bị tiếp theo trong mạng LAN. Ở phần này, đội thi đến từ Việt Nam đã khai thác thành công lỗ hổng trên router Cisco và máy in Canon. Đây cũng là kết quả cao nhất mà nhóm đạt được trong đợt thi, giúp mang về 7,5 điểm và 37,5 nghìn USD giải thưởng.

Video đang HOT

Được biết, nhóm có 11 người, trong đó có 8 thành viên trẻ, sinh từ 1995 đến 2000. Nhiều người lần đầu tham dự cuộc thi bảo mật tầm cỡ thế giới, nhưng đã có thành tích cạnh tranh với các chuyên gia có tiếng như Star Labs, DevCore.

Ngoài TeamViettel, một đội thi khác là Qrious Secure cũng có thành viên đến từ Việt Nam, gồm Toan Pham and Tri Dang, theo website cuộc thi. Tuy đạt 10,25 điểm và đứng top 5, đội giành gần 90.000 USD tiền thưởng, trong đó riêng lỗ hổng tấn công hệ thống loa Sonos One giúp đội thu về tới 60.000 USD. Ngoài ra, một số thí sinh tham gia cá nhân, như Chi Tran, AnhtuD, Le Tran Hai Tung, đều giành 10.000 USD sau khi khai thác thành công lỗ hổng từ máy in Canon.

Pwn2Own 2022 có 36 đội thi từ 14 quốc gia và vùng lãnh thổ, trong đó có nhiều đội mạnh về bảo mật như Đài Loan, Singapore, Mỹ, Đức, Israel, Hàn Quốc, Ấn Độ,… Sau bốn ngày, cuộc thi tìm ra 63 lỗ hổng zero-day và 989.000 USD giải thưởng được trao.

3 ứng dụng bạn nên xóa nếu không muốn điện thoại bị tấn công từ xa

Theo các nhà nghiên cứu, nhiều lỗ hổng bảo mật vừa được phát hiện bên trong 3 ứng dụng Android, khiến điện thoại bị tấn công từ xa.

Các ứng dụng được đề cập bao gồm Lazy Mouse, PC Keyboard và Telepad. Trước khi bị xóa khỏi cửa hàng Google Play, chúng đã được tải xuống hơn 2 triệu lần, mặc dù vậy các ứng dụng vẫn tồn tại trên trang web riêng của nhà phát triển.

- Lazy Mouse (com.ahmedaay.lazymouse2 và com.ahmedaay.lazymousepro)

- PC Keyboard (com.beapps.pckeyboard)

- Telepad (com.pinchtools.telepad)

Theo Trung tâm Nghiên cứu An ninh mạng Synopsys (CyRC), các ứng dụng này được quảng cáo giúp biến điện thoại thông minh thành bàn phím và chuột không dây cho máy tính. Tuy nhiên, các nhà nghiên cứu đã tìm thấy tới 7 lỗ hổng liên quan đến tính năng xác thực, thiếu ủy quyền và giao tiếp không an toàn.

7 lỗ hổng từ CVE-2022-45477 đến CVE-2022-45483 có thể bị kẻ gian lợi dụng để thực hiện các lệnh lừa đảo, thu thập thông tin người dùng nhạy cảm từ xa.

Điều đáng chú ý là không có ứng dụng nào nhận được bất kỳ bản cập nhật nào trong hơn 2 năm, điều này đồng nghĩa với việc bạn chỉ có thể xóa ứng dụng ngay lập tức để tránh bị tấn công.

"3 ứng dụng này được sử dụng rộng rãi nhưng chúng không được duy trì cũng như không được hỗ trợ, và rõ ràng, bảo mật không phải là một yếu tố được quan tâm khi các ứng dụng này được phát triển", nhà nghiên cứu bảo mật Mohammed Alshehri của Synopsys cho biết.

Để xóa 3 ứng dụng kể trên (nếu bạn đã lỡ cài đặt trước đó), bạn hãy truy cập vào Settings (cài đặt) - Apps (ứng dụng) - Manage apps (quản lý ứng dụng), tìm tên 3 ứng dụng và nhấn Uninstall (gỡ cài đặt).

Trước đó không lâu, các nhà nghiên cứu bảo mật tại Zimperium đã phát hiện ra một chiến dịch phần mềm độc hại được tiến hành từ năm 2018, khiến hơn 300.000 người có nguy cơ bị mất Facebook.

Theo báo cáo, phần mềm độc hại đã giả mạo là ứng dụng giáo dục Schoolyard Bully hoặc đọc truyện, lây nhiễm cho hàng trăm ngàn thiết bị ở 71 quốc gia, chủ yếu tập trung tại Việt Nam.

Con số này chỉ là ước tính ban đầu, bởi lẽ còn đến 37 ứng dụng nằm trong chiến dịch lần này được phân phối thông qua các cửa hàng của bên thứ ba, do đó, số lượng nạn nhân sẽ cao hơn thực tế khá nhiều.

Những người đứng sau Schoolyard Bully vẫn chưa được tiết lộ, tuy nhiên, các nhà phân tích cho rằng phần mềm độc hại được phát hiện lần này không liên quan đến FlyTrap, một loại Trojan được thiết kế đánh cắp tài khoản Facebook chủ yếu tại Việt Nam.

Hy vọng với những thông tin mà Kỷ Nguyên Số vừa cung cấp, bạn đọc sẽ biết cách gỡ cài đặt ứng dụng Lazy Mouse, PC Keyboard và Telepad, hạn chế tình trạng bị tấn công từ xa trong tương lai.

Cảnh báo hàng loạt lỗ hổng bảo mật nghiêm trọng trong các sản phẩm của Microsoft Nhiều lỗ hổng bảo mật có mức độ ảnh hưởng cao và nghiêm trọng, trong đó có những lỗ hổng đang bị khai thác trong thực tế. Do đó, các đơn vị, doanh nghiệp cần kiểm tra, rà soát, xác định máy sử dụng hệ điều hành Windows có khả năng bị ảnh hưởng, cập nhật bản vá kịp thời để tránh nguy...

Bạn thấy bài viết này có hữu ích không?

Có;

Không

Tin liên quan

Xem thêm Share

Xem nhiều

Người phụ nữ cầm chổi đánh hàng xóm là giáo viên tiểu học, thái độ ra sao sau vụ việc?04:01

Tez - người cũ của Pháo bất ngờ tung bản rap diss cực khét, lời lẽ công kích ai đó lắm mồm, dạy đời03:15

Nam ca sĩ Việt bỏ chạy khi gặp động đất tại Thái Lan, sợ hãi đến mức chỉ lấy đúng 1 món đồ không giống ai!00:20

Nóng: ViruSs xin lỗi02:06

Khoảnh khắc tự hào: 2 máy bay chở lực lượng cứu hộ Việt Nam và 60 tấn hàng cứu trợ đã hạ cánh tại Myanmar00:43

Clip: Cả gan săn báo con, đại bàng nhận 'quả báo' ngay sau đó02:31

Pháo tiết lộ trả tiền hẹn hò, còn bị hỏi vay thêm, ViruSs phản pháo: "Mang chuyện tài chính nói thì tôi cũng chịu"00:43

Video: Cô gái thoát nạn trong gang tấc nhờ nhanh trí vứt xe máy bỏ chạy00:54

Đối tượng uy hiếp bé gái ở Bắc Ninh vẫn 'ngáo đá' sau hơn 1 ngày bị bắt giữ03:23

Động đất mạnh ngang 334 bom nguyên tử ở Myanmar, số người chết vượt 1.00003:08

"Cha tôi, người ở lại" tập 19: An tỏ ra lạnh nhạt khi Nguyên trở về03:03

Tin đang nóng

Tin mới nhất

Nâng cao và biến đổi hình ảnh của bạn bằng trình chỉnh sửa video trực tuyến CapCut

15:45:56 16/01/2024

Đã đến lúc bỏ lại các công cụ chỉnh sửa cũ và chấp nhận giải pháp thay đổi cuộc chơi. Gặp gỡ Trình chỉnh sửa video trực tuyến CapCut - giải pháp sẽ nâng cao, nâng cao và cách mạng hóa thế giới sáng tạo nội dung trực quan của bạn

Cách đăng Facebook để có nhiều lượt thích và chia sẻ

22:01:27 21/12/2022

Chắc hẳn là ai trong chúng ta cũng luôn muốn các bài đăng trên Facebook có được nhiều lượt thích và chia sẻ. Tuy nhiên, làm thế nào để tối ưu bài đăng thì không phải ai cũng biết

Thêm nhiều bang của Mỹ cấm TikTok

21:03:46 21/12/2022

Louisiana và Tây Virginia là hai bang mới nhất cấm công chức sử dụng TikTok trên thiết bị công do lo ngại Trung Quốc có thể theo dõi người Mỹ và kiểm duyệt nội dung

Microsoft cấm khai thác tiền điện tử trên các dịch vụ đám mây để bảo vệ khách hàng

20:03:41 21/12/2022

Microsoft đã cập nhật thỏa thuận cấm khai thác tiền điện tử trên các dịch vụ trực tuyến của mình. Việc khai thác tiền điện tử trên dịch vụ của Microsoft cần có sự cho phép bằng văn bản của công ty, nhưng cũng chỉ nhằm mục đích thử nghiệ...

Facebook trấn áp hàng loạt công ty phần mềm gián điệp

20:01:24 21/12/2022

Meta (công ty mẹ của Facebook) cho biết họ đã ngăn chặn không dưới 200 hoạt động bí mật, trấn áp hàng loạt công ty phần mềm gián điệp kể từ năm 2017 tại khoảng 70 quốc gia

Meta đối mặt cáo buộc vi phạm các quy tắc chống độc quyền với mức phạt 11,8 tỷ đô

19:01:39 21/12/2022

Ủy ban Châu Âu - cơ quan điều hành của EU cho biết, đã phát hiện Meta vi phạm các quy tắc chống độc quyền của EU bằng cách bóp méo sự cạnh tranh trên thị trường quảng cáo trực tuyến. Meta có thể phải đối mặt với khoản tiền phạt lên tới ...

Không cần thăm dò, Musk nên sớm từ chức CEO Twitter

15:01:33 21/12/2022

Người dùng Twitter, các nhà đầu tư Tesla và chuyên gia phân tích trong ngành đều cho rằng Elon Musk nên sớm từ chức CEO Twitter

Đại lý Việt nhập iPhone 14 kiểu 'bia kèm lạc'

14:01:42 21/12/2022

Muốn nhập được các mẫu bán chạy như iPhone 14 Pro/Pro Max, các chuỗi đại lý bán lẻ ủy quyền của Apple bắt buộc phải nhập thêm hàng loạt phụ kiện đi kèm

Khai trương hệ thống vé điện tử và dịch vụ trải nghiệm thực tế ảo XR tại Quần thể Di tích Cố đô Huế

09:38:18 21/12/2022

Sáng 20/12, tại Ngọ Môn, Đại Nội Huế, Trung tâm Bảo tồn Di tích Cố đô Huế đã tổ chức Lễ Khai trương Hệ thống vé điện tử và dịch vụ trải nghiệm thực tế ảo XR

'Dở khóc dở cười' với tính năng trợ giúp người bị tai nạn ôtô của Apple

09:37:54 21/12/2022

Tính năng phát hiện tai nạn ôtô mới ra mắt trên Apple iPhone và Apple Watch sẽ tự động tìm kiếm sự trợ giúp từ bộ phận cấp cứu khi có nguy cơ xảy ra tai nạn