Hàng triệu máy Android dính lỗ hổng bảo mật ở firmware, có thể khai thác để đọc thông tin nhạy cảm

Asus, Essential, LG, ZTE là 4 công ty bị phát hiện có lỗ hổng bảo mật trong firmware của điện thoại có thể bị khai thác để chiếm quyền điều khiển máy hoặc khóa không cho người dùng xài smartphone của mình. Để khai thác lổ hổng nói trên người dùng phải tải về một app chứa mã độc nên tạm thời sự ảnh hưởng chưa lớn lắm nhưng nó vẫn để lại nguy cơ cao cho người dùng. Theo công ty bảo mật Kryptowire, lỗ hổng xuất hiện là do tính mở của Android, nó cho phép bất kì bên thứ ba nào cũng có thể chỉnh sửa mã nguồn trước khi cài lên thiết bị và các nhà sản xuất đã thiếu chú ý về mặt bảo mật khi tùy biến lại Android theo ý mình. Đây là vấn đề cố hữu của Android.

Kryptowire đề cập cụ thể đến một số thiết bị, đầu tiên là Asus ZenFone V Live. Lỗ hổng trên máy này cho phép tin tặc chụp ảnh screenshot, quay video màn hình, gọi điện, đọc tin nhắn, chỉnh sửa tin nhắn và hơn thế nữa. Asus cho biết họ đã biết về vấn đề này và đang tích cực khắc phục bằng một bản vá cho người dùng.

Với ZTE, hai chiếc ZTE Blade Spark và Blade Vantage có thể bị khai thác để truy cập vào SMS, dữ liệu cuộc gọi, logcat ghi nhận log của các app trong đó có thể có thông tin nhạy cả. LG G6 thì dính lỗi để lộ logcat và cho phép tin tặc khóa máy không cho người dùng xài. Một chiếc Essential Phone thì có thể bị factory reset để xóa hết mọi thông tin mà không có sự cho phép của người dùng.

Hiện lỗi đã được Essential khắc phục, LG thì đang phát triển một bản vá để sửa sai. ZTE cho hay một số máy đã được vá, một số khác phải đợi bản update từ nhà mạng.

Nguồn: Wired