Lỗ hổng được Bluebox Labs đặt tên là "Fake ID" được phát hiện từ năm 2010 khiến hàng triệu thiết bị Android từ phiên bản 2.1 đến 4.4 (KitKat) có nguy cơ bị xâm nhập và mất cắp dữ liệu cá nhân. Giám đốc kỹ thuật bảo mật của Bluebox, Jeff Forristal đã tiếp tục đưa cảnh báo này trên trang blog của mình hôm 29-7.
Ảnh minh họa từ The Guardian
Hồi tháng 4, Google cũng đã công bố khắc phục lỗ hổng trên trong bản cập nhật mới nhất là Android 4.4 KitKat. Tuy nhiên, theo số liệu mới nhất từ Google cho thấy hiện có khoảng 82% tổng số người dùng vẫn đang sử dụng các thiết bị Android phiên bản cũ (thấp hơn 4.4). Do đó hàng triệu người dùng Android có nguy cơ bị tấn công đánh cắp thông tin cá nhân.
Bluebox Labs cho rằng vấn đề nằm ở cách thức kiểm tra bảo mật ứng dụng trên Android, với mỗi ứng dụng sẽ được cấp một chữ ký số riêng để xác định danh tính và quyền truy cập thiết bị từ ứng dụng. Và Jeff cho rằng toàn bộ hệ thống xác thực chữ ký của Google trên Android đã lỗi thời.
Do đó Fake ID được xem là một lỗ hổng an ninh khá nghiêm trọng có thể mở ra các cuộc tấn công từ các ứng dụng độc hại tưởng chừng như hợp pháp để đánh cắp các dữ liệu liên quan đến cá nhân người dùng được lưu trong máy.
Bình luận (0)