Hơn một tỷ thiết bị Android có nguy cơ bị đánh cắp dữ liệu

816
28-10-2020
Hơn một tỷ thiết bị Android có nguy cơ bị đánh cắp dữ liệu

Mới đây, Qualcomm đã phát hành bản sửa lỗi cho các lỗ hổng trong chip Snapdragon của mình. Hành động này nhằm ngăn chặn những kẻ tấn công khai thác lỗ hổng để theo dõi vị trí hoặc làm tê liệt hoạt động của các thiết bị.

Hơn một tỷ thiết bị Android có nguy cơ bị đánh cắp dữ liệu - Ảnh 1.

Các nhà nghiên cứu đã đưa ra con số một triệu thiết bị Android có nguy cơ bị tấn công dễ dàng hoặc thậm chí nhiều hơn thế. Những kẻ tấn công có thể biến những thiết bị này thành công cụ theo dõi và đánh cắp dữ liệu bằng cách khai thác hơn 400 lỗ hổng trong chip Snapdragon của Qualcomm.

Các lỗ hổng bảo mật có thể bị khai thác khi người dùng tải xuống video hoặc các nội dung khác do chip hiển thị. Họ cũng có thể bị tấn công khi cài đặt các ứng dụng độc hại và không yêu cầu quyền nào cả.

Những kẻ tấn công có thể theo dõi vị trí, thậm chí nghe lén âm thanh xung quanh, lọc ảnh và video trên thiết bị. Những chiếc điện thoại bị tấn công cũng có thể bị treo, không phản hồi. Các virus tấn công có thể bị ẩn khỏi hệ điều hành, gây khó khăn cho việc loại bỏ cũng như bảo vệ thiết bị.

Snapdragon được gọi là hệ thống trên chip, cung cấp các thành phần như CPU và bộ xử lý đồ họa. Một trong những chức năng của Snapdragon là xử lý tín hiệu kỹ thuật số, hoặc DSP, giải quyết nhiều tác vụ khác nhau, bao gồm cả video, âm thanh và các chức năng đa phương tiện khác,... Những nhà sản xuất điện thoại cũng có thể sử dụng DSP để vận hành các ứng dụng chuyên dụng cho phép các tính năng tùy chỉnh.

Chip DSP cung cấp giải pháp tương đối tiết kiệm khi cho phép điện thoại di động cung cấp tới người dùng nhiều chức năng hơn và kích hoạt các tính năng sáng tạo, tuy nhiên chúng đi kèm với hàng loạt chi phí. Các nhà nghiên cứu đến từ công ty bảo mật Check Point đã có một báo cáo ngắn gọn về những lỗ hổng mà họ phát hiện ra. Các chip DSP dễ gặp rủi ro hơn vì chúng đang được quản lý dưới dạng "Hộp đen", tương đối phức tạp trong khâu kiểm soát thiết kế, chức năng hoặc mã, ngoại trừ nhà sản xuất của chúng.

Các nhà nghiên cứu tại Check Point cũng cho biết, Qualcomm đã phát hành một bản sửa lỗi cho các lỗ hổng, nhưng đến nay nó vẫn chưa được tích hợp vào hệ điều hành Android hay bất kỳ thiết bị Android nào sử dụng Snapdragon.

Hơn một tỷ thiết bị Android có nguy cơ bị đánh cắp dữ liệu - Ảnh 2.

Check Point đang giữ lại các chi tiết kỹ thuật về các lỗ hổng và cách chúng có thể bị khai thác cho đến khi các bản sửa lỗi được đưa vào thiết bị người dùng. Công ty bảo mật này đã đặt tên cho các lỗ hổng Achilles. Hơn 400 lỗi khác nhau được theo dõi lần lượt là là CVE-2020-11201, CVE-2020-11202, CVE-2020-11206, CVE-2020-11207, CVE-2020-11208 và CVE-2020-11209.

Trong một tuyên bố, phía Qualcomm cho biết: "Liên quan đến lỗ hổng Qualcomm Compute DSP do Check Point tiết lộ, chúng tôi đã nỗ lực để xác thực vấn đề và đưa ra các biện pháp khắc phục phù hợp cho các OEM. Chúng tôi không có bằng chứng các thiết bị di động hiện đang bị khai thác dữ liệu. Và Qualcomm khuyến khích người dùng cập nhật thiết bị của mình khi có phiên bản khắc phục lỗi và chỉ cài đặt ứng dụng từ các địa điểm đáng tin cậy như CH Play."

Check Point cho biết Snapdragon được đưa vào khoảng 40% điện thoại trên toàn thế giới. Với ước tính khoảng 3 tỷ thiết bị Android, con số đó lên tới hơn một tỷ điện thoại di động. Riêng tại thị trường Hoa Kỳ, Snapdragons được nhúng vào khoảng 90% thiết bị.

Hiện không có nhiều hướng dẫn hữu ích nhằm cung cấp cho người dùng cách tự bảo vệ mình trước những hành vi lợi dụng này. Chỉ tải xuống ứng dụng từ CH Play mới thực sự hữu ích, tuy nhiên hồ sơ theo dõi kiểm tra ứng dụng của Google cho thấy lời khuyên này cũng có nhiều hạn chế. Cũng không có cách nào để xác định hiệu quả nội dung đa phương tiện bị mắc kẹt.

Theo Bizfly Cloud chia sẻ

BizFly Cloud là nhà cung cấp đám mây đáp ứng đầy đủ toàn bộ tiêu chí, chỉ tiêu kỹ thuật của nền tảng điện toán đám mây của Bộ TT&TT. Hệ sinh thái đám mây do Việt Nam phát triển và làm chủ, cung cấp đa dịch vụ với chi phí thấp nhất. Tham khảo và trải nghiệm miễn phí dịch vụ tại: https://bizflycloud.vn/

SHARE