Xuất hiện cách hack máy Android mới qua lỗ hổng Stagefright

19/03/16, 09:30 Công nghệ

Mới đây, các nhà nghiên cứa đã phát hiện ra một phương thức tấn công máy Android mới tận dụng lỗ hổng Stagefright, cơn ác mộng bảo mật tồi tệ bị phát hiện hồi giữa năm 2015.

hack-android

Thay vì phải biết số điện thoại của nạn nhân và gửi tin nhắn MMS tới điện thoại, tất cả những gì hacker cần làm bây giờ là gửi một đường link video, bạn chỉ cần bấm vào kéo lên kéo xuống xem nội dung vài giây là máy đã bị nhiễm độc, thậm chí chúng ta không coi video, hay bình luận… mà máy vẫn bị nhiễm độc. Nhóm nghiên cứu Northbit của Israel gọi đây là phương thức tấn công Metaphor.

Khi bấm vào link video có mã độc, trình chơi video sẽ bị lỗi và phải khởi động lại. Lúc này, javascript sẽ đọc những thông tin trong thiết bị và gửi về máy chủ video, sau đó máy chủ này sẽ gửi lại một video khác có chưa malware để chiếm quyền điều khiển thiết bị.

Nghe có vẻ phức tạp và khó thực hiện nhưng việc này diễn ra chỉ trong vòng 15 giây, và việc trình xem video bị khởi động lại cũng không phải là chuyện lạ nên hầu hết chúng ta đều không để ý điều này.

Lấy ví dụ, khi có ai gửi một đường link video qua email hay mạng xã hội, chúng ta thường bấm vào xem. Khi đó, trình duyệt sẽ thực hiện một công việc gọi là parsing, lấy các thông tin như độ dài video, tên của video, phụ đề, người thực hiện video, bình luận… Chính tại đây, lỗ hổng xuất hiện, và thế là malware xâm nhập vào máy dù bạn không xem video mà chỉ vuốt lên vuốt xuống trang web vài giây.

Hiện có rất nhiều điện thoại đã cập nhật bản vá Stagefright nhưng vẫn còn rất nhiều máy tồn tại lỗi này, Northbit đã thử nghiệm tấn công thành công trên Nexus 5, Glaaxy S5, LG G5, HTC One chạy Android 2.2-5.1. Lỗ hổng này chính là nguyên nhân Google đưa ra các bản vá bảo mật theo tháng.

Nếu bạn dùng máy Android 6.0 trở lên thì không phải lo lắng vì gần như chắc chắn là máy sẽ không bị nhiễm Stageflight.

Stagefright là lỗ hổng trong mã nguồn mở của Google Android, được tiết lộ hôm 27/7/2015. Nó giúp điện thoại bung các tin nhắn đa phương tiện, cho phép thiết bị hiểu được các nội dung MMS (nội dung đa phương tiện), chứa video, ảnh, âm thanh, ký tự, ngược với nội dung SMS, chỉ chứa 160 ký tự. Các lỗi (bug) này nằm trong thư viện Stagefright.

Nói một cách chính xác, lỗ hổng Stagefright là một tổ hợp gồm 7 lỗi, ký hiệu như sau: CVE-2015-1538, CVE-2015-1539, CVE-2015-3824, CVE-2015-3826, CVE-2015-3827, CVE-2015-3828 và CVE-2015-3829.

Theo Tinh Tế

Ad will display in 09 seconds

Tinh Hoa kể chuyện: Linh thể

Tinh Hoa hoạt hình 2020-08-20 09:31:08
Ad will display in 09 seconds

Tinh Hoa kể chuyện: Cậu bé mù xây cầu

Tinh Hoa hoạt hình 2020-07-06 15:05:00
Ad will display in 09 seconds

Tinh Hoa kể chuyện: Bao Công mộng hồ điệp

Tinh Hoa hoạt hình 2020-05-30 16:55:31
Ad will display in 09 seconds

Tinh Hoa kể chuyện: Thánh khổ linh hoa

Tinh Hoa hoạt hình 2020-04-28 20:19:11
Ad will display in 09 seconds

Tinh Hoa kể chuyện: Lý Ký trảm xà

Tinh Hoa hoạt hình 2020-03-31 15:55:57
Ad will display in 09 seconds

Tinh Hoa kể chuyện: Bí ẩn cổ trùng

Tinh Hoa hoạt hình 2020-03-11 15:26:26
Ad will display in 09 seconds

Tinh Hoa kể chuyện: Bồ Tát giả

Tinh Hoa hoạt hình 2020-02-20 09:25:12
Ad will display in 09 seconds

Nếu mọi sự câu toàn, thì giá trị của bạn nằm ở đâu?

Tinh Hoa hoạt hình 2020-01-14 08:40:47
  • Tinh Hoa kể chuyện: Linh thể

    Tinh Hoa kể chuyện: Linh thể

  • Tinh Hoa kể chuyện: Cậu bé mù xây cầu

    Tinh Hoa kể chuyện: Cậu bé mù xây cầu

  • Tinh Hoa kể chuyện: Bao Công mộng hồ điệp

    Tinh Hoa kể chuyện: Bao Công mộng hồ điệp

  • Tinh Hoa kể chuyện: Thánh khổ linh hoa

    Tinh Hoa kể chuyện: Thánh khổ linh hoa

  • Tinh Hoa kể chuyện: Lý Ký trảm xà

    Tinh Hoa kể chuyện: Lý Ký trảm xà

  • Tinh Hoa kể chuyện: Bí ẩn cổ trùng

    Tinh Hoa kể chuyện: Bí ẩn cổ trùng

  • Tinh Hoa kể chuyện: Bồ Tát giả

    Tinh Hoa kể chuyện: Bồ Tát giả

  • Nếu mọi sự câu toàn, thì giá trị của bạn nằm ở đâu?

    Nếu mọi sự câu toàn, thì giá trị của bạn nằm ở đâu?

x