Lỗ hổng an ninh đe dọa hơn 1 tỉ smartphone Android

Anh Quân18:58 30/05/2020

Lỗ hổng cho phép ứng dụng độc hại triển khai và giả dạng bất kỳ phần mềm được cài sẵn trên máy rồi hiển thị giao diện giả mạo để lừa lấy thông tin người dùng .

Strandhogg từng bị khai thác trên Android hồi cuối năm 2019

Các chuyên gia bảo mật người Na Uy đã phát hiện ra một lỗ hổng bảo mật nghiêm trọng tên Strandhogg (CVE-2020-0096) ảnh hưởng tới hệ điều hành Android, cho phép hacker triển khai nhiều dạng tấn công với các hình thức giả mạo khác nhau. Strandhogg từng được phát hiện lần đầu vào cuối năm 2019, được một số kẻ tấn công triển khai thành công trên máy nạn nhân để ăn cắp thông tin ngân hàng và nhiều tài khoản đăng nhập, đồng thời theo dõi hoạt động trên thiết bị.

Với tên gọi mới Standhogg 2.0, lỗ hổng bảo mật mới này ảnh hưởng tới hầu hết thiết bị chạy Android, chỉ trừ các máy chạy phiên bản mới nhất là Android 10 (Android Q). Tuy nhiên, nền tảng này mới chỉ có mặt trên khoảng 15-20% tổng số thiết bị sử dụng hệ điều hành di động của Google trên toàn cầu, đồng nghĩa có trên 1 tỉ máy có khả năng bị khai thác.

Strandhogg 1.0 tồn tại trong tính năng đa tác vụ của Android, trong khi phiên bản 2.0 về cơ bản là một lỗ hổng đặc quyền cho phép tin tặc có quyền truy cập vào hầu hết ứng dụng có trên máy.

Khi người dùng chạm vào biểu tượng một ứng dụng hợp pháp bất kỳ trên thiết bị, phần mềm độc hại sẽ khai thác lỗ hổng Strandhogg để chặn và hack thao tác này nhằm hiển thị một giao diện giả mạo cho người dùng thay vì mở ứng dụng thật.

Video đang HOT

Strandhogg 1.0 chỉ có thể tấn công một ứng dụng ở một thời điểm, trong khi 2.0 cho phép tin tặc chủ động tấn công gần như mọi phần mềm có trên máy chỉ bằng một thao tác chạm và không yêu cầu phải cấu hình trước cho mỗi chương trình mục tiêu.

Theo THN , Strandhogg 2.0 ẩn chứa nhiều nguy hiểm và đáng quan ngại bởi nạn nhân gần như không thể phát hiện ra cuộc tấn công. Lỗ hổng này có khả năng hack và giả mạo giao diện của hầu như mọi ứng dụng có mặt trên thiết bị mà không cần phải cấu hình, được sử dụng để yêu cầu mọi sự cấp phép trên máy. Bên cạnh đó, bản 2.0 sử dụng được trên mọi thiết bị Android (trừ phiên bản Android 10) mà không đòi quyền root máy và cũng chẳng yêu cầu bất kỳ sự cho phép nào để hoạt động.

Ngoài việc trộm thông tin tài khoản, phần mềm độc hại có thể gia tăng mức độ nguy hiểm bằng việc đánh lừa người dùng cấp quyền truy cập nhạy cảm trên thiết bị khi đóng giả là ứng dụng hợp pháp.

“Tin tặc có thể lợi dụng Strandhogg 2.0 để có quyền truy cập vào tin nhắn, hình ảnh riêng tư, trộm thông tin đăng nhập các tài khoản, theo dõi hoạt động GPS, thực hiện hoặc ghi lại cuộc gọi hay theo dõi thông qua camera và microphone của điện thoại. Trong khi đó các chương trình chống virus hay quét bảo mật rất khó để phát hiện ra ứng dụng độc hại để đưa ra cảnh báo cho người dùng”, đại diện nhóm nghiên cứu cho biết.

Dịch vụ vay tiền tràn ngập 'chợ' ứng dụng

Ứng dụng cho vay tiền xuất hiện tràn lan trên các chợ ứng dụng, tận dụng lợi thế của smartphone để kiểm soát người vay.

Khi tìm kiếm với các từ khóa liên quan đến vay tiền, người dùng nhận được hàng trăm kết quả ở cả kho ứng dụng của iOS lẫn Android. Hầu hết đều đánh vào tâm lý muốn vay tiền nhanh, lãi suất thấp, của người sử dụng. Phần lớn ứng dụng đều có tên gọi như "vay tiền mặt nhanh", "vay trong 30 giây", "vay hỏa tốc"...

Trong số này, nhiều ứng dụng ghi nhận số lượt tải từ 500 nghìn đến 1 triệu lượt. Thậm chí có loại đứng trong Top 10 ứng dụng tài chính phổ biến nhất trên Play Store tại Việt Nam.

Ngoài ra, một số dịch vụ cho vay tiền không xuất hiện trên kho ứng dụng, nhưng nhân viên tư vấn có sẵn file cài (chẳng hạn file apk trên Android), để yêu cầu người vay cài lên máy.

Hoàng Phong, một khách hàng, kể: "Khi tôi kêu khó khăn trong việc thanh toán khoản vay của ứng dụng đầu tiên, nhân viên đòi nợ gợi ý tôi tải một ứng dụng thứ hai về để vay và trả cho khoản nợ đó". Khi tìm hiểu, Phong mới biết các ứng dụng này là của cùng một công ty.

Nhiều người nghĩ rằng cho vay tiền qua ứng dụng là cách làm văn minh, tuy nhiên, họ không biết rằng các phần mềm này đã lợi dụng smartphone để kiểm soát người vay một cách gắt gao.

Với người dùng iOS, một số dịch vụ cho vay tiền yêu cầu người vay phải đăng nhập tài khoản iCloud do bên cho vay chỉ định. Từ đó, đơn vị cho vay kiểm soát nhiều thông tin của người vay, như vị trí, danh bạ, ảnh, tài liệu... Thậm chí nếu cần, họ có thể khóa máy người nợ từ xa.

Với Android, mặc dù không yêu cầu đăng nhập tài khoản, các ứng dụng cho va lại yêu cầu quyền nhiều quyền kiểm soát máy khác.

Một ứng dụng vay tiền nổi tiếng trên Android với hơn một triệu lượt tải, yêu cầu quyền truy cập vào hơn 20 tính năng của máy. Theo thông tin ghi trên hướng dẫn sử dụng, ứng dụng này yêu cầu được đọc và sửa đổi danh bạ, đọc tin nhắn, truy cập vào vị trí chính xác của người dùng, chụp ảnh và quay video, xem kết nối Wi-Fi, ngăn điện thoại chuyển sang chế độ ngủ, thậm chí xem và sửa nội dung trên thẻ nhớ, gửi email bí mật.

Ứng dụng cho vay tiền yêu cầu quyền truy cập vào hàng loạt tính năng trên điện thoại.

Một người từng sử dụng ứng dụng vay tiền cho biết, các ứng dụng này yêu cầu rất nhiều quyền truy cập. Nhưng chỉ cần người dùng từ chối một trong các yêu cầu đó, hồ sơ vay có thể sẽ không được duyệt.

Theo chuyên gia công nghệ độc lập Nguyễn Tuấn Anh, khi đồng ý cho người khác đăng nhập iCloud vào iPhone hay chấp nhận các quyền truy cập trên máy Android, người dùng đã trao quyền kiểm soát các dữ liệu cá nhân trong thiết bị cho người lạ. Điều này tiềm ẩn nhiều nguy cơ rủi ro về dữ liệu riêng tư.

Thực tế, nhiều người vay tiền từ ứng dụng phản ánh về việc bị các ứng dụng này lấy dữ liệu và sử dụng mà không được sự đồng ý. "Khi đăng ký, dịch vụ yêu cầu tôi cung cấp số điện thoại của hai người thân và tôi đã làm theo. Tuy nhiên khi đến hạn trả tiền, dịch vụ này lại gọi điện đến toàn bộ người trong danh bạ khiến cuộc sống của tôi bị ảnh hưởng", Hồng Quyên, một người từng đi vay, phản ánh trong phần nhận xét ứng dụng.

Nhờ kiểm soát toàn bộ quy trình và ứng dụng, các đơn vị cho vay có thể gây khó khăn cho người dùng để trục lợi. Người dùng có nickname Mạnh Kiên phản ánh, ứng dụng "bình thường hoạt động tốt, nhưng cứ sắp đến ngày trả lãi, chập chờn", khiến anh thường xuyên rơi vào tình trạng trả nợ chậm và bị phạt.

Điều này dẫn đến việc, hầu hết các ứng dụng cho vay tiền đều nhận được nhiều đánh giá 1*. Nhiều người cho rằng các ứng dụng này vi phạm nghiêm trọng quyền riêng tư, trong khi số tiền nhận được không giống trong thỏa thuận.

Người dùng có tên Nhung Nguyễn, cho biết, cô được duyệt cho vay số tiền 2 triệu đồng, nhưng thực tế chỉ nhận được 1,8 triệu. Sau một tuần, bên cho vay yêu cầu phải trả 2,6 triệu đồng, trong đó 600 đồng là lãi.

Nhiều người khác phản ánh về việc "đã cung cấp rất nhiều thông tin cá nhân, thậm chí cả chứng minh thư và hộ khẩu, nhưng không nhận được phản hồi từ ứng dụng". Ngoài ra, chuyện lấy thông tin liên hệ trong danh bạ để gọi điện đòi tiền, xảy ra ở hầu hết các ứng dụng dạng này.

Phát hiện lỗ hổng mới trong giao thức không dây bluetooth Mới đây, các nhà nghiên cứu đã tiết lộ một lỗ hổng mới trong giao thức không dây Bluetooth, hiện đang được sử dụng rộng rãi để kết nối các thiết bị hiện đại như smartphone, máy tính bảng, máy tính xách tay và thiết bị IoT thông minh. Lỗ hổng này có tên là BIAS (Bluetooth Impersonation AttackS), tạm dịch là các...

Bạn thấy bài viết này có hữu ích không?

Có

Không

Tin liên quan

Chủ đề: android – phần mềm smartphone. an ninh giao diện giả mạo lỗ hổng thông tin người dùng ứng dụng độc hại

Xem thêm Share

Xem nhiều

Hiện trường vụ 3 người trong một nhà bị sát hại ở Đắk Lắk01:14

Chân dung nghi phạm 22 tuổi ám sát đồng minh của Tổng thống Mỹ Donald Trump03:08

Vụ thảm án ở Đắk Lắk: Bé trai thoát chết nhờ trèo qua tường, trên người nhiều vết dao đâm08:05

Bắt khẩn cấp tài xế taxi 'chặt chém' người phụ nữ nghèo, kết cục không thể tránh03:04

Yêu cô gái 1m2, chàng trai Thanh Hóa vượt 1.300km về ở rể và cái kết00:51

Tình cũ Lisa lộ diện sau 6 năm ở ẩn, công bố 1 thông tin chấn động, Lisa khóc òa02:45

Thương Tín lộ diện sau thời gian vắng bóng "không thể đi lại", hình ảnh gây chú ý02:49

MC Quyền Linh 'tố' vợ 20 năm trước 'hai bàn tay trắng', giờ có gia tài 'khủng'02:37

Độ Mixi tuyên bố căng sau khi bị mời làm việc, ép fan làm 1 điều, bạn bè vạ lây02:30

Ngu Thư Hân bị đồng nghiệp thân thiết "phản bội", Chúc Tự Đan thành tâm điểm02:43

Inna Moll dự kiến đăng quang Miss Universe, xinh như búp bê ngàn năm có một02:54

Tiêu điểm

Tin đang nóng

Tin mới nhất

Không biết Speak AI, bảo sao tiếng Anh mãi không khá!

11:11:02 13/09/2025

Speak AI - công cụ hiện đại, giúp cá nhân hóa quá trình luyện nói, cải thiện phát âm và tăng sự tự tin khi giao tiếp.

Những thách thức trong thương mại hóa 5G ở Việt Nam

21:01:15 12/09/2025

Dù đã triển khai tại nhiều tỉnh thành và được xem là nền tảng cho kinh tế số, chặng đường thương mại hóa 5G tại Việt Nam vẫn còn nhiều thách thức về chi phí, ứng dụng, an ninh mạng và nhân lực.

Ra mắt nền tảng AI hợp nhất 'Make in Viet Nam'

20:04:56 12/09/2025

Người dùng có thể dễ dàng so sánh, lựa chọn kết quả giữa nhiều mô hình AI, tận dụng khả năng tạo sinh hình ảnh và tri thức mới, qua đó nâng cao hiệu quả sáng tạo, quản trị và năng suất cho tổ chức, doanh nghiệp, hộ kinh doanh và gia đìn...

ShinyHunters và các vụ tấn công mạng đánh cắp dữ liệu gây chấn động

20:02:44 12/09/2025

Google Threat Intelligence Group là bộ phận của Google chuyên nghiên cứu, phân tích và cung cấp thông tin tình báo về các mối đe dọa an ninh mạng trên toàn cầu. Nhiệm vụ chính của Google Threat Intelligence Group:

17 cách biến ChatGPT thành trợ lý miễn phí

11:17:16 12/09/2025

Muốn ChatGPT trả lời đúng ý, nhanh và chất lượng hơn? Bí quyết nằm ở cách viết câu lệnh (prompt). Dưới đây là 17 nguyên tắc vàng giúp người dùng Việt khai thác AI thông minh và hiệu quả.

Bạn đã khai thác hết tiềm năng của dữ liệu bán lẻ?

10:25:52 12/09/2025

Để triển khai thành công RMN cần có các chuỗi hoạt động tích hợp và chia sẻ dữ liệu trong các hệ thống nội bộ. Các cơ hội tốt nhất và có nhiều rủi ro nhất nằm trong quá trình mở rộng tiềm năng hợp tác với các doanh nghiệp đối tác.

Samsung ra mắt trợ lý Vision AI tại IFA 2025

16:36:33 11/09/2025

Điểm khác biệt của trợ lý Vision AI chính là khả năng trả lời câu hỏi và yêu cầu bằng các phản hồi trực quan, thông minh từ nhiều AI agent, chỉ với thao tác nhấn nút AI trên điều khiển từ xa.

Ngân hàng và dịch vụ tài chính dẫn đầu về ứng dụng AI và GenAI

16:33:01 11/09/2025

Bất chấp thách thức, doanh nghiệp xem GenAI là một sự đầu tư xứng đáng và là động lực thúc đẩy việc vận hành hiệu quả hơn, tạo ra các mô hình kinh doanh mới.

OpenAI ký thỏa thuận điện toán đám mây lịch sử trị giá 300 tỷ USD với Oracle

16:29:00 11/09/2025

Động thái này trùng thời điểm OpenAI tham gia dự án Stargate, trong đó OpenAI, SoftBank và Oracle cam kết đầu tư 500 tỷ USD xây dựng trung tâm dữ liệu tại Mỹ trong 4 năm tới.

"Xanh hóa" AI: Nhiệm vụ cấp bách cho Đông Nam Á

10:21:58 11/09/2025

Một giải pháp là thiết kế AI thông minh hơn, tinh gọn hơn, bằng cách xây dựng các ứng dụng mang lại kết quả tương tự nhưng với khối lượng xử lý tính toán ít hơn, qua đó giảm nhu cầu về cả hạ tầng và năng lượng.

Nền tảng du lịch trực tuyến chạy đua ứng phó sự trỗi dậy của tác nhân AI

10:18:27 11/09/2025

Đối thủ Expedia cũmh tích hợp các mô hình của OpenAI trong cùng năm và đang triển khai hệ thống tác nhân Operator của công ty này. Operator có khả năng tự động thực hiện các tác vụ trên trình duyệt web theo yêu cầu của người dùng.

NVIDIA và ADI bắt tay thúc đẩy kỷ nguyên robot thông minh

16:12:05 10/09/2025

Song song đó, xu hướng chuyển dịch sang sản xuất thông minh và tự động hóa trong các ngành điện tử, ô tô, logistics sẽ tạo điều kiện để robot hình người tham gia sâu hơn, hỗ trợ thao tác tinh vi và các khâu lặp đi lặp lại với độ chính x...