Lỗ hổng an ninh đe dọa hơn 1 tỉ smartphone Android

Anh Quân18:58 30/05/2020

Lỗ hổng cho phép ứng dụng độc hại triển khai và giả dạng bất kỳ phần mềm được cài sẵn trên máy rồi hiển thị giao diện giả mạo để lừa lấy thông tin người dùng.

Strandhogg từng bị khai thác trên Android hồi cuối năm 2019

Các chuyên gia bảo mật người Na Uy đã phát hiện ra một lỗ hổng bảo mật nghiêm trọng tên Strandhogg (CVE-2020-0096) ảnh hưởng tới hệ điều hành Android, cho phép hacker triển khai nhiều dạng tấn công với các hình thức giả mạo khác nhau. Strandhogg từng được phát hiện lần đầu vào cuối năm 2019, được một số kẻ tấn công triển khai thành công trên máy nạn nhân để ăn cắp thông tin ngân hàng và nhiều tài khoản đăng nhập, đồng thời theo dõi hoạt động trên thiết bị.

Với tên gọi mới Standhogg 2.0, lỗ hổng bảo mật mới này ảnh hưởng tới hầu hết thiết bị chạy Android, chỉ trừ các máy chạy phiên bản mới nhất là Android 10 (Android Q). Tuy nhiên, nền tảng này mới chỉ có mặt trên khoảng 15-20% tổng số thiết bị sử dụng hệ điều hành di động của Google trên toàn cầu, đồng nghĩa có trên 1 tỉ máy có khả năng bị khai thác.

Strandhogg 1.0 tồn tại trong tính năng đa tác vụ của Android, trong khi phiên bản 2.0 về cơ bản là một lỗ hổng đặc quyền cho phép tin tặc có quyền truy cập vào hầu hết ứng dụng có trên máy.

Khi người dùng chạm vào biểu tượng một ứng dụng hợp pháp bất kỳ trên thiết bị, phần mềm độc hại sẽ khai thác lỗ hổng Strandhogg để chặn và hack thao tác này nhằm hiển thị một giao diện giả mạo cho người dùng thay vì mở ứng dụng thật.

Video đang HOT

Strandhogg 1.0 chỉ có thể tấn công một ứng dụng ở một thời điểm, trong khi 2.0 cho phép tin tặc chủ động tấn công gần như mọi phần mềm có trên máy chỉ bằng một thao tác chạm và không yêu cầu phải cấu hình trước cho mỗi chương trình mục tiêu.

Theo THN, Strandhogg 2.0 ẩn chứa nhiều nguy hiểm và đáng quan ngại bởi nạn nhân gần như không thể phát hiện ra cuộc tấn công. Lỗ hổng này có khả năng hack và giả mạo giao diện của hầu như mọi ứng dụng có mặt trên thiết bị mà không cần phải cấu hình, được sử dụng để yêu cầu mọi sự cấp phép trên máy. Bên cạnh đó, bản 2.0 sử dụng được trên mọi thiết bị Android (trừ phiên bản Android 10) mà không đòi quyền root máy và cũng chẳng yêu cầu bất kỳ sự cho phép nào để hoạt động.

Ngoài việc trộm thông tin tài khoản, phần mềm độc hại có thể gia tăng mức độ nguy hiểm bằng việc đánh lừa người dùng cấp quyền truy cập nhạy cảm trên thiết bị khi đóng giả là ứng dụng hợp pháp.

“Tin tặc có thể lợi dụng Strandhogg 2.0 để có quyền truy cập vào tin nhắn, hình ảnh riêng tư, trộm thông tin đăng nhập các tài khoản, theo dõi hoạt động GPS, thực hiện hoặc ghi lại cuộc gọi hay theo dõi thông qua camera và microphone của điện thoại. Trong khi đó các chương trình chống virus hay quét bảo mật rất khó để phát hiện ra ứng dụng độc hại để đưa ra cảnh báo cho người dùng”, đại diện nhóm nghiên cứu cho biết.

Dịch vụ vay tiền tràn ngập 'chợ' ứng dụng

Ứng dụng cho vay tiền xuất hiện tràn lan trên các chợ ứng dụng, tận dụng lợi thế của smartphone để kiểm soát người vay.

Khi tìm kiếm với các từ khóa liên quan đến vay tiền, người dùng nhận được hàng trăm kết quả ở cả kho ứng dụng của iOS lẫn Android. Hầu hết đều đánh vào tâm lý muốn vay tiền nhanh, lãi suất thấp, của người sử dụng. Phần lớn ứng dụng đều có tên gọi như "vay tiền mặt nhanh", "vay trong 30 giây", "vay hỏa tốc"...

Trong số này, nhiều ứng dụng ghi nhận số lượt tải từ 500 nghìn đến 1 triệu lượt. Thậm chí có loại đứng trong Top 10 ứng dụng tài chính phổ biến nhất trên Play Store tại Việt Nam.

Ngoài ra, một số dịch vụ cho vay tiền không xuất hiện trên kho ứng dụng, nhưng nhân viên tư vấn có sẵn file cài (chẳng hạn file apk trên Android), để yêu cầu người vay cài lên máy.

Hoàng Phong, một khách hàng, kể: "Khi tôi kêu khó khăn trong việc thanh toán khoản vay của ứng dụng đầu tiên, nhân viên đòi nợ gợi ý tôi tải một ứng dụng thứ hai về để vay và trả cho khoản nợ đó". Khi tìm hiểu, Phong mới biết các ứng dụng này là của cùng một công ty.

Nhiều người nghĩ rằng cho vay tiền qua ứng dụng là cách làm văn minh, tuy nhiên, họ không biết rằng các phần mềm này đã lợi dụng smartphone để kiểm soát người vay một cách gắt gao.

Với người dùng iOS, một số dịch vụ cho vay tiền yêu cầu người vay phải đăng nhập tài khoản iCloud do bên cho vay chỉ định. Từ đó, đơn vị cho vay kiểm soát nhiều thông tin của người vay, như vị trí, danh bạ, ảnh, tài liệu... Thậm chí nếu cần, họ có thể khóa máy người nợ từ xa.

Với Android, mặc dù không yêu cầu đăng nhập tài khoản, các ứng dụng cho va lại yêu cầu quyền nhiều quyền kiểm soát máy khác.

Một ứng dụng vay tiền nổi tiếng trên Android với hơn một triệu lượt tải, yêu cầu quyền truy cập vào hơn 20 tính năng của máy. Theo thông tin ghi trên hướng dẫn sử dụng, ứng dụng này yêu cầu được đọc và sửa đổi danh bạ, đọc tin nhắn, truy cập vào vị trí chính xác của người dùng, chụp ảnh và quay video, xem kết nối Wi-Fi, ngăn điện thoại chuyển sang chế độ ngủ, thậm chí xem và sửa nội dung trên thẻ nhớ, gửi email bí mật.

Ứng dụng cho vay tiền yêu cầu quyền truy cập vào hàng loạt tính năng trên điện thoại.

Một người từng sử dụng ứng dụng vay tiền cho biết, các ứng dụng này yêu cầu rất nhiều quyền truy cập. Nhưng chỉ cần người dùng từ chối một trong các yêu cầu đó, hồ sơ vay có thể sẽ không được duyệt.

Theo chuyên gia công nghệ độc lập Nguyễn Tuấn Anh, khi đồng ý cho người khác đăng nhập iCloud vào iPhone hay chấp nhận các quyền truy cập trên máy Android, người dùng đã trao quyền kiểm soát các dữ liệu cá nhân trong thiết bị cho người lạ. Điều này tiềm ẩn nhiều nguy cơ rủi ro về dữ liệu riêng tư.

Thực tế, nhiều người vay tiền từ ứng dụng phản ánh về việc bị các ứng dụng này lấy dữ liệu và sử dụng mà không được sự đồng ý. "Khi đăng ký, dịch vụ yêu cầu tôi cung cấp số điện thoại của hai người thân và tôi đã làm theo. Tuy nhiên khi đến hạn trả tiền, dịch vụ này lại gọi điện đến toàn bộ người trong danh bạ khiến cuộc sống của tôi bị ảnh hưởng", Hồng Quyên, một người từng đi vay, phản ánh trong phần nhận xét ứng dụng.

Nhờ kiểm soát toàn bộ quy trình và ứng dụng, các đơn vị cho vay có thể gây khó khăn cho người dùng để trục lợi. Người dùng có nickname Mạnh Kiên phản ánh, ứng dụng "bình thường hoạt động tốt, nhưng cứ sắp đến ngày trả lãi, chập chờn", khiến anh thường xuyên rơi vào tình trạng trả nợ chậm và bị phạt.

Điều này dẫn đến việc, hầu hết các ứng dụng cho vay tiền đều nhận được nhiều đánh giá 1*. Nhiều người cho rằng các ứng dụng này vi phạm nghiêm trọng quyền riêng tư, trong khi số tiền nhận được không giống trong thỏa thuận.

Người dùng có tên Nhung Nguyễn, cho biết, cô được duyệt cho vay số tiền 2 triệu đồng, nhưng thực tế chỉ nhận được 1,8 triệu. Sau một tuần, bên cho vay yêu cầu phải trả 2,6 triệu đồng, trong đó 600 đồng là lãi.

Nhiều người khác phản ánh về việc "đã cung cấp rất nhiều thông tin cá nhân, thậm chí cả chứng minh thư và hộ khẩu, nhưng không nhận được phản hồi từ ứng dụng". Ngoài ra, chuyện lấy thông tin liên hệ trong danh bạ để gọi điện đòi tiền, xảy ra ở hầu hết các ứng dụng dạng này.

Phát hiện lỗ hổng mới trong giao thức không dây bluetooth Mới đây, các nhà nghiên cứu đã tiết lộ một lỗ hổng mới trong giao thức không dây Bluetooth, hiện đang được sử dụng rộng rãi để kết nối các thiết bị hiện đại như smartphone, máy tính bảng, máy tính xách tay và thiết bị IoT thông minh. Lỗ hổng này có tên là BIAS (Bluetooth Impersonation AttackS), tạm dịch là các...

Bạn thấy bài viết này có hữu ích không?

Có

Không

Tin liên quan

Chủ đề: android – phần mềm smartphone . an ninh giao diện giả mạo lỗ hổng thông tin người dùng ứng dụng độc hại

Xem thêm Share

Xem nhiều

Nghi án mẹ sát hại 2 con để trục lợi bảo hiểm: Người cô ruột hé lộ thông tin bất ngờ00:57

Hình ảnh được chia sẻ nhiều nhất lúc này của Hoa hậu Thùy Tiên sau khi Hằng Du Mục và Quang Linh Vlogs bị bắt00:51

Vụ sao nữ Vbiz gãy xương đùi khi chơi pickleball: Người chứng kiến tiết lộ chi tiết gây sốc01:29

MONO chạy đến ôm Phương Thanh cực tình, còn rối rít xin lỗi vì đã "skinship" với gái Thái02:23

Siêu mẫu Kỳ Hân gãy xương trên sân pickleball phải phẫu thuật gấp, Mạc Hồng Quân tức tốc vào với vợ00:17

Vụ tin đồn 'mẹ giết 2 con' gây xôn xao ở Quảng Nam: Người nhà nói gì?01:11

Màn catwalk khó hiểu của Thanh Hằng: Nhã Phương và dàn sao bị "tóm" thái độ, khẩu hình Phương Anh Đào gây tranh cãi00:28

Trung Quốc triển khai hơn 80 máy bay, tàu chiến sát Đài Loan?08:57

Clip cận cảnh sao nữ Vbiz chấn thương gãy chân ngay giữa sân pickleball, dàn sao Việt hốt hoảng tột độ00:43

Clip: Sau nhiều giờ tìm kiếm, thót tim thấy cháu bé lớp 2 ngủ ngon trên... cành cây xoài!02:38

Bí mật hậu trường bom tấn Địa Đạo: Gian nan gấp 6 lần phim khác, "thoát nạn" nhờ công lao của 1 người06:10

Tin đang nóng

Tin mới nhất

Nâng cao và biến đổi hình ảnh của bạn bằng trình chỉnh sửa video trực tuyến CapCut

15:45:56 16/01/2024

Đã đến lúc bỏ lại các công cụ chỉnh sửa cũ và chấp nhận giải pháp thay đổi cuộc chơi. Gặp gỡ Trình chỉnh sửa video trực tuyến CapCut - giải pháp sẽ nâng cao, nâng cao và cách mạng hóa thế giới sáng tạo nội dung trực quan của bạn

Cách đăng Facebook để có nhiều lượt thích và chia sẻ

22:01:27 21/12/2022

Chắc hẳn là ai trong chúng ta cũng luôn muốn các bài đăng trên Facebook có được nhiều lượt thích và chia sẻ. Tuy nhiên, làm thế nào để tối ưu bài đăng thì không phải ai cũng biết

Thêm nhiều bang của Mỹ cấm TikTok

21:03:46 21/12/2022

Louisiana và Tây Virginia là hai bang mới nhất cấm công chức sử dụng TikTok trên thiết bị công do lo ngại Trung Quốc có thể theo dõi người Mỹ và kiểm duyệt nội dung

Microsoft cấm khai thác tiền điện tử trên các dịch vụ đám mây để bảo vệ khách hàng

20:03:41 21/12/2022

Microsoft đã cập nhật thỏa thuận cấm khai thác tiền điện tử trên các dịch vụ trực tuyến của mình. Việc khai thác tiền điện tử trên dịch vụ của Microsoft cần có sự cho phép bằng văn bản của công ty, nhưng cũng chỉ nhằm mục đích thử nghiệ...

Facebook trấn áp hàng loạt công ty phần mềm gián điệp

20:01:24 21/12/2022

Meta (công ty mẹ của Facebook) cho biết họ đã ngăn chặn không dưới 200 hoạt động bí mật, trấn áp hàng loạt công ty phần mềm gián điệp kể từ năm 2017 tại khoảng 70 quốc gia

Meta đối mặt cáo buộc vi phạm các quy tắc chống độc quyền với mức phạt 11,8 tỷ đô

19:01:39 21/12/2022

Ủy ban Châu Âu - cơ quan điều hành của EU cho biết, đã phát hiện Meta vi phạm các quy tắc chống độc quyền của EU bằng cách bóp méo sự cạnh tranh trên thị trường quảng cáo trực tuyến. Meta có thể phải đối mặt với khoản tiền phạt lên tới ...

Không cần thăm dò, Musk nên sớm từ chức CEO Twitter

15:01:33 21/12/2022

Người dùng Twitter, các nhà đầu tư Tesla và chuyên gia phân tích trong ngành đều cho rằng Elon Musk nên sớm từ chức CEO Twitter

Đại lý Việt nhập iPhone 14 kiểu 'bia kèm lạc'

14:01:42 21/12/2022

Muốn nhập được các mẫu bán chạy như iPhone 14 Pro/Pro Max, các chuỗi đại lý bán lẻ ủy quyền của Apple bắt buộc phải nhập thêm hàng loạt phụ kiện đi kèm

Khai trương hệ thống vé điện tử và dịch vụ trải nghiệm thực tế ảo XR tại Quần thể Di tích Cố đô Huế

09:38:18 21/12/2022

Sáng 20/12, tại Ngọ Môn, Đại Nội Huế, Trung tâm Bảo tồn Di tích Cố đô Huế đã tổ chức Lễ Khai trương Hệ thống vé điện tử và dịch vụ trải nghiệm thực tế ảo XR

'Dở khóc dở cười' với tính năng trợ giúp người bị tai nạn ôtô của Apple

09:37:54 21/12/2022

Tính năng phát hiện tai nạn ôtô mới ra mắt trên Apple iPhone và Apple Watch sẽ tự động tìm kiếm sự trợ giúp từ bộ phận cấp cứu khi có nguy cơ xảy ra tai nạn