Xuất hiện cách hack máy Android mới qua lỗ hổng Stagefright

Mới đây, các nhà nghiên cứa đã phát hiện ra một phương thức tấn công máy Android mới tận dụng lỗ hổng Stagefright, cơn ác mộng bảo mật tồi tệ bị phát hiện hồi giữa năm 2015.

Thay vì phải biết số điện thoại của nạn nhân và gửi tin nhắn MMS tới điện thoại, tất cả những gì hacker cần làm bây giờ là gửi một đường link video, bạn chỉ cần bấm vào kéo lên kéo xuống xem nội dung vài giây là máy đã bị nhiễm độc, thậm chí chúng ta không coi video, hay bình luận… mà máy vẫn bị nhiễm độc. Nhóm nghiên cứu Northbit của Israel gọi đây là phương thức tấn công Metaphor.

Khi bấm vào link video có mã độc, trình chơi video sẽ bị lỗi và phải khởi động lại. Lúc này, javascript sẽ đọc những thông tin trong thiết bị và gửi về máy chủ video, sau đó máy chủ này sẽ gửi lại một video khác có chưa malware để chiếm quyền điều khiển thiết bị.

Nghe có vẻ phức tạp và khó thực hiện nhưng việc này diễn ra chỉ trong vòng 15 giây, và việc trình xem video bị khởi động lại cũng không phải là chuyện lạ nên hầu hết chúng ta đều không để ý điều này.

Lấy ví dụ, khi có ai gửi một đường link video qua email hay mạng xã hội, chúng ta thường bấm vào xem. Khi đó, trình duyệt sẽ thực hiện một công việc gọi là parsing, lấy các thông tin như độ dài video, tên của video, phụ đề, người thực hiện video, bình luận… Chính tại đây, lỗ hổng xuất hiện, và thế là malware xâm nhập vào máy dù bạn không xem video mà chỉ vuốt lên vuốt xuống trang web vài giây.

Hiện có rất nhiều điện thoại đã cập nhật bản vá Stagefright nhưng vẫn còn rất nhiều máy tồn tại lỗi này, Northbit đã thử nghiệm tấn công thành công trên Nexus 5, Glaaxy S5, LG G5, HTC One chạy Android 2.2-5.1. Lỗ hổng này chính là nguyên nhân Google đưa ra các bản vá bảo mật theo tháng.

Nếu bạn dùng máy Android 6.0 trở lên thì không phải lo lắng vì gần như chắc chắn là máy sẽ không bị nhiễm Stageflight.

Stagefright là lỗ hổng trong mã nguồn mở của Google Android, được tiết lộ hôm 27/7/2015. Nó giúp điện thoại bung các tin nhắn đa phương tiện, cho phép thiết bị hiểu được các nội dung MMS (nội dung đa phương tiện), chứa video, ảnh, âm thanh, ký tự, ngược với nội dung SMS, chỉ chứa 160 ký tự. Các lỗi (bug) này nằm trong thư viện Stagefright.

Nói một cách chính xác, lỗ hổng Stagefright là một tổ hợp gồm 7 lỗi, ký hiệu như sau: CVE-2015-1538, CVE-2015-1539, CVE-2015-3824, CVE-2015-3826, CVE-2015-3827, CVE-2015-3828 và CVE-2015-3829.

Theo Tinh Tế