Người dùng ‘bó tay’ khi lỗ hổng an ninh đến từ ứng dụng được cài sẵn trên điện thoại Android
Giữ chiếc điện thoại của bạn an toàn khỏi phần mềm độc hại đã khó, phòng tránh khỏi lỗ hổng từ ứng dụng được cài sẵn trong smartphone lại là bất khả thi.
Các nhà nghiên cứu từ tổ chức an ninh Kryptowire vừa phát hiện 38 lỗ hổng khác nhau trong ứng dụng được cài sẵn cho phép kẻ gian theo dõi, và thậm chí là thực hiện factory reset trên 25 mẫu điện thoại Android phổ biến hiện tại được phân phối tại Mỹ. Trong số này, có các điện thoại đến từ Asus, ZTE, LG và Essential Phone do Verizon và AT&T cung cấp.
Angelos Stavrou, tổng giám đốc Kryptowire và Ryan Johnson, giám đốc nghiên cứu của tổ chức này cho biết rằng “tất cả những lỗ hổng đó đều có sẵn trên máy. Chúng có ở đó ngay khi bạn khui hộp. Đây là một điều quan trọng, vì người dùng nghĩ mình chỉ bị rủi ro khi tải một thứ gì đó không tốt.”
Theo Kryptowire, những lỗ hổng này cho phép kẻ gian quay chụp lại màn hình của thiết bị, “brick” (vô hiệu hóa) hoặc factory reset, đ.ánh cắp thông tin cá nhân bằng cách tải mã độc lên thiết bị, ghi lại những gì người dùng gõ, đọc trên máy và lấy cắp dữ liệu liên lạc. Người dùng chẳng thể làm gì trước vấn đề này, và Kryptowire cũng nói rằng có thể còn rất nhiều dòng điện thoại khác chưa được phát hiện.
Video đang HOT
Đây là vấn đề mới nhất xảy ra với hệ điều hành Android, vốn luôn bị xem là kém an toàn so với đối thủ iOS của Apple. Google đã không ngừng cố gắng cải thiện hình ảnh của Android trong thời gian qua, nhưng có vẻ như tiến độ khắc phục vấn đề chậm hơn so với tốc độ người ta phát hiện ra các lỗ hổng mới.
Về phía các hãng điện thoại, họ cũng đã có phản hồi. AT&T cho biết họ đã đưa ra các bản sửa lỗi, Essential nói rằng mình đã khắc phục được vấn đề ngay lập tức, trong khi LG và Asus đang thực hiện các bản patch để sửa lỗi trên smartphone của họ. ZTE và Verizon hoàn toàn im lặng khi được Kryptowire cho biết về những lỗ hỏng an ninh trên thiết bị của mình.
Một người phát ngôn của Google cũng nói rằng dù vấn đề này không phải đến từ Android, mà là từ các ứng dụng của hãng thứ ba được cài đặt trên máy, họ cũng đã liên hệ với các đối tác để khắc phục vấn đề.
Essential cho thấy cập nhật smartphone Android ngay ngày đầu tiên hệ điều hành mới ra mắt là khả thi
Theo TriThucTre
Hơn 31 triệu người dùng bị công khai lên mạng do ứng dụng bàn phím bí mật thu thập
Việc một ứng dụng bàn phím làm lộ thông tin người dùng cho thấy sự phức tạp của các ứng dụng trên smartphone trong cách chúng thu thập dữ liệu của bạn.
Trong thế giới kỹ thuật số vẫn tồn tại câu nói nổi tiếng &'Nếu bạn không trả t.iền, thì bạn không phải khách hàng mà chính là sản phẩm'
Khi tải những ứng dụng về điện thoại, đa phần người dùng sẽ không để ý những dữ liệu chúng sẽ thu thập từ họ. Ngày càng có nhiều nhà phát triển ứng dụng đang thực hiện các biện pháp vô trách nhiệm như vậy, và không có ví dụ nào tốt hơn về việc ứng dụng bàn phím ảo mới đây đã bị tiết lộ dữ liệu lên mạng.
Theo đó, đội nghiên cứu bảo mật của trung tâm Kromtech đã khám phá ra một lượng lớn dữ liệu cá nhân của hơn 31 triệu người dùng ứng dụng bàn phím ảo phổ biến có tên là AI.type. Dữ liệu này vô tình đã bị rò rỉ trực tuyến để mọi người có thể tải xuống mà không cần bất kỳ mật khẩu nào.
Ai.type được sáng lập vào năm 2010, đây là một bàn phím ảo trên màn hình có thể tùy chỉnh và cá nhân hoá cho điện thoại di động và máy tính bảng, hiện nó đang có hơn 40 triệu người dùng trên toàn thế giới.
Đội này khám phá ra rằng một cơ sở dữ liệu MongoDB đã bị cấu hình sai, thuộc sở hữu của nhóm startup viết nên AI.type tại Tel Aviv, đã phơi bày toàn bộ 577 GB cơ sở dữ liệu lên mạng. Dữ liệu bao gồm số lượng đáng kinh ngạc các chi tiết nhạy cảm về người dùng của họ, thậm chí có nhiều dữ liệu không cần thiết cho ứng dụng này.
Ứng dụng AI.type khi bị phát hiện rò rỉ cũng đồng thời lộ ra một chuyện, đó là nó thu thập toàn bộ những gì người dùng nhập vào, cho đến cả thu thập danh bạ. Cụ thể, trong cơ sở dữ liệu của 31 triệu người dùng đã có đầy đủ các thông tin họ tên, số điện thoại, email, tên thiết bị, độ phân giải màn hình và chi tiết phiên bản Android, số IMSI, IMEI, nhà mạng, quốc gia và thậm chí cả ngôn ngữ đang lựa chọn...
Các nhà nghiên cứu cho biết khi cài thử Ai.Type, người dùng phải cho phép toàn quyền (Full Access) truy cập tất cả dữ liệu trên chiếc iPhone thử nghiệm, nó bao gồm cả dữ liệu từ bàn phím trước đó.
Cơ sở dữ liệu còn cho thấy ứng dụng bàn phím ảo này cũng trộm danh bạ của người dùng, và nó có đến 373 triệu bản ghi cho danh bạ.
Chính vì vậy, việc lộ dữ liệu này được các nhà nghiên cứu khuyến cáo là một bài học cho người dùng về việc tránh bị trở thành nạn nhân cho các ứng dụng miễn phí.
Theo Tri Thức Trẻ
Google sẽ giảm dung lượng ứng dụng trên Google Play Store Google đang nỗ lực đem lại trải nghiệm tốt hơn cho người dùng và họ đã quyết định giảm dung lượng các ứng dụng trên Google Play. Giám đốc của Google Play - Purnima Kochikar đã chia sẻ vài thông tin về cải thiện các ứng dụng và kế hoạch trong tương lai của công ty. Một trong những cải thiện lớn nhất...
