Tin tặc có thể bẻ khóa Android chỉ bằng một bức ảnh

Đừng dại dột mở những bức ảnh được gửi đến từ những người lạ trên điện thoại Android Ảnh: AFP

Theo nhà nghiên cứu Tim Strazzere của hãng bảo mật SentinelOne, lỗ hổng tồn tại trong các bức ảnh sử dụng ứng dụng Android nào đó để phân tích dữ liệu EXIF của một hình ảnh. Bất kể ứng dụng nào sử dụng mã Java object ExifInterface trên Android đều có thể bị tổn thương.

Khi kẻ tấn công lừa nạn nhân mở tập tin hình ảnh trong một ứng dụng bị ảnh hưởng, như Gchat hoặc Gmail, chúng có thể kiểm soát hoặc vô hiệu thiết bị ngay từ xa. Điều này bao gồm cả việc cài đặt phần mềm độc hại trên thiết bị và kiểm soát nó mà nạn nhân không hề hay biết.

Nhưng nghiêm trọng hơn, cuộc tấn công thậm chí không cần nạn nhân thực hiện bất kỳ thao tác nào. Chỉ cần một ứng dụng có khả năng phân tích hình ảnh tự động (như gửi qua email hoặc tin nhắn), vụ tấn công có thể được kích hoạt. Điều đó không khác mấy so với cách khai thác lỗ hổng Stagefright trên Android trước đây.

Tuy nhiên, Strazzere không đưa ra thông tin về các ứng dụng khác ngoài Gmail và Gchat bị ảnh hưởng bởi lỗ hổng nói trên, bởi đó là vấn đề nhạy cảm.

Cũng theo Strazzere, tất cả phiên bản Android từ 4.4.4 đến 6.0.1 đều dễ bị tấn công bởi phương thức hack, ngoại trừ bản cập nhật Android mới nhất đã cố định lỗ hổng. Thậm chí, thử nghiệm với một số ít điện thoại Android 4.2 và các thiết bị của Amazon cũng cho thấy lỗ hổng chưa được vá. Điều này có nghĩa một lượng lớn thiết bị Android đang đối diện với lỗ hổng.

Được biết, Google đã thưởng cho Strazzere số tiền 4.000 USD cho việc phát hiện ra lỗ hổng nói trên, và công ty cũng nhanh chóng tiến hành vá lỗ hổng thông qua bản cập nhật mới nhất cho khách hàng. Vì vậy, nếu đang sử dụng điện thoại Android bạn cần nhanh chóng tiến hành cập nhật bản vá lỗi mới nhất cho hệ điều hành trên thiết bị để được an toàn.

Kiến Văn