Lỗi app ‘bảo vệ’, 150 triệu điện thoại Xiaomi có thể bị hack
Ứng dụng bảo mật được nhà sản xuất cài đặt kèm theo lại mở ra cửa hậu cho cuộc tấn công của tin tặc.
Các chuyên gia của hãng bảo mật Check Point Research vừa phát hiện lỗ hổng lớn trong ứng dụng cài sẵn trên smartphone Xiaomi, nhà sản xuất có thị phần lớn thứ 4 thế giới, đứng đầu thị trường Ấn Độ. Ước tính có đến 150 triệu thiết bị chịu ảnh hưởng bởi sự cố nghiêm trọng này.
Phạm vi ảnh hưởng của vụ việc này rất lớn vì Xiaomi đang đứng đầu tại thị trường Ấn Độ.
Đó là ứng dụng bảo mật mang tên Guard Provider, được giới thiệu có chức năng bảo vệ người dùng trước phần mềm độc hại. Tuy nhiên, Check Point Research phát hiện phần mềm này tiến hành cập nhật cơ sở dữ liệu virus trên một cổng kết nối không được mã hóa. Điều này khiến người dùng Xiaomi có thể bị tấn công khi tiến hành truy cập vào các điểm Wi-Fi công cộng.
Sau khi kết nối vào cùng mạng không dây với các nạn nhân tại nhà hàng, quán cafe, trung tâm mua sắm… tin tặc có thể truy cập vào hình ảnh, video và dữ liệu nhạy cảm khác của chủ sở hữu điện thoại hoặc thêm vào bất kỳ phần mềm độc hại nào.
Video đang HOT
Ứng dụng Guard Provider cho phép người dùng lựa chọn 3 phần mềm diệt virus khác nhau để bảo vệ điện thoại của mình, bao gồm Avast, AVL và ứng dụng từ Tencent. Yaniv Balmas, người đứng đầu bộ phận nghiên cứu bảo mật Check Point, nói rằng các lỗ hổng sẽ bị khai thác nếu người dùng chọn Avast làm chương trình bảo vệ.
Việc tấn công trải qua nhiều giai đoạn, nhưng bước đầu tiên thực hiện thông qua quá trình Xiaomi tiến hành cập nhật cơ sở dữ liệu virus và các bản cập nhật khác trên một cổng HTTP không được mã hóa.
Phần mềm có chức năng bảo vệ người dùng trước sự tấn công lại trở thành lỗ hổng cho tin tin tặc xâm nhập.
Những kẻ tấn công có thể sử dụng phương thức MiTM để phát hiện ra thời điểm ứng dụng Avast trên điện thoại Xiaomi tiến hành cập nhật, dự đoán tên của gói APK. Từ đó, tin tặc sẽ chặn phần phản hồi của kết nối APK, đồng thời ngăn các bản cập nhật cơ sở dữ liệu virus Avast.
Sau khi các bản cập nhật Avast bị chặn, kẻ tấn công có thể chuyển ứng dụng chống virus mặc định sang hai tùy chọn chống virus còn lại. Các lỗ hổng bổ sung trong quá trình giải nén ứng dụng cho phép kẻ tấn công ghi đè bất kỳ file nào trong sandbox của ứng dụng, cuối cùng dẫn đến việc mở ra một lối vào dành cho mã độc.
Check Point nói rằng Xiaomi đã phát hành một bản vá ngay sau khi được họ thông báo về lỗ hổng nghiêm trọng này. Tuy nhiên, vấn đề được phát hiện trong ứng dụng Guard Provider của Xiaomi đặt ra câu hỏi đáng lo ngại về việc người dùng có thật sự được bảo vệ. Ngay cả ứng dụng bảo mật do nhà sản xuất thiết bị tạo ra cũng không an toàn.
Theo Motherboard
Tại sao điện thoại Xiaomi có giá rẻ
Xiaomi tung ra nhiều mẫu smartphone với giá bán gần bằng chi phí sản xuất nhưng vẫn kiếm lời từ việc đặt quảng cáo trong hệ điều hành.
Xiaomi được biết đến với các điện thoại cấu hình cao nhưng giá chỉ bằng nửa so với sản phẩm của đối thủ. CEO Lei Jun cũng khẳng định duy trì lợi nhuận kinh doanh các thiết bị phần cứng không vượt quá 5%.
Theo Android Authority, không ít người đã nghĩ đây là sự hào phóng của Xiaomi. Nhưng đằng sau đó, công ty Trung Quốc kiếm được khoản tiền không nhỏ từ chính người dùng thông qua việc tích hợp quảng cáo trực tiếp vào các phần mềm mặc định của smartphone.
Quảng cáo xuất hiện trên nhiều ứng dụng mặc định của Xiaomi.
Ngoài Mi A1, A2 chạy Android One, các điện thoại thông minh của Xiaomi đều dùng MIUI - một phiên bản Android với nhiều tùy chỉnh riêng của hãng. Điều đáng nói là Xiaomi đã tích hợp quảng cáo trực tiếp và hầu như ở khắp mọi nơi. Từ trang tổng quan khi người dùng vuốt sang trái đến ứng dụng Mi Music, Mi Video hay quản lý tập tin...
Không ít thành viên diễn đàn Reddit nói họ thất vọng với tình trạng quảng cáo trên điện thoại Xiaomi ngày càng xuất hiện nhiều. Trang NDTV cho biết người dùng còn thấy quảng cáo khiêu dâm hiện trên thiết bị của nhà sản xuất này. Còn trong một khảo sát trên VnExpress, 66% người tham gia nói bị làm phiền bởi quảng cáo của điện thoại Xiaomi.
Khảo sát về quảng cáo trên điện thoại Xiaomi của độc giả.
Thực tế, không riêng Xiaomi mà một số nhà sản xuất điện thoại Android khác cũng tìm cách kiếm tiền từ người dùng ngoài việc bán phần cứng. Nhiều gói ứng dụng "rác" (bloatware) được cài sẵn vào smartphone từ khi xuất xưởng. Bản thân Samsung bán điện thoại cao cấp cũng từng "spam" người dùng bằng cách này nhưng hiện khách hàng đều có thể gỡ hầu hết các ứng dụng đó khỏi máy.
Cách làm của Amazon thì cân bằng hơn giữa lợi ích của công ty và trải nghiệm của người dùng. Hãng bán máy đọc sách có quảng cáo giá rẻ hơn so với phiên bản không quảng cáo. Ngoài ra, quảng cáo chỉ xuất hiện ở màn hình khóa nên không làm gián đoạn trải nghiệm, thậm chí đôi khi còn hữu ích. Hơn nữa, khách hàng có thể trả thêm tiền để bỏ quảng cáo.
Trong khi đó Xiaomi không có tùy chọn mua máy không quảng cáo. Việc tắt chúng đi cũng rất phức tạp và không thể triệt để. Như vậy, cái giá cho việc điện thoại Xiaomi giá rẻ là quảng cáo sẽ đeo bám người dùng, xuất hiện ở mọi lúc, mọi nơi trên hệ điều hành MIUI.
Theo VnExpress
Rò rỉ chi tiết quan trọng về iPhone XI Một hình ảnh, được cho là khung giữa của chiếc iPhone XI sẽ ra mắt vào mùa thu này, càng khẳng định tính xác thực của các render trước đó về smartphone 2019 của nhà Táo. Khung giữa thường là trung tâm của chiếc điện thoại, bao gồm các thành phần như bo mạch chủ, máy tính lớn, pin và màn hình. Trong...