Người dùng HĐH Android có thể bị tấn công dù chỉ tải file MP3 hay video bởi một lỗ hổng vừa mới phát hiện được mệnh danh là Stagefright phiên bản 2.0
 |
| Lỗ hổng bảo mật mới đe dọa hàng tỷ thiết bị Android. (Ảnh: theregister) |
Đây không phải lần đầu các nhà nghiên cứu bảo mật của hãng Zimperium phát hiện ra lỗ hổng an ninh nghiêm trọng trên nền tảng di động lớn nhất thế giới này. Trước đó hồi tháng 7, lỗi bảo mật trong thư viện đa phương tiện Stagefright cũng đã đe dọa hơn 1 tỷ thiết bị Android và được Zimprium thông báo tới Google.
Lần này, hãng đưa ra lời cảnh báo tương tự, thậm chí là nghiêm trọng hơn bởi các lỗ hổng được mệnh danh là “Stagefright 2.0” có quy mô và mức độ lớn hơn trước. Người dùng khi xem các file MP3, MP4 hoặc video khác có nguy cơ bị nhiễm mã độc đánh cắp thông tin và nhiều nguy hại khác.
 |
| Biểu đồ về lỗ hổng trên các phiên bản Android. (Ảnh: theregister) |
Theo nhà nghiên cứu Joshua J Drake tại Zimprium cho biết, họ đã tìm thấy hai lỗ hổng bảo mật trên Android gồm lỗi CVE-2015-6602 liên quan đến thư viện libutils xuất hiện từ phiên bản Android 1.0 và hiện đã có mặt trên Android 5.0. Lỗi thứ hai là CVE-2015-3876 hoàn toàn mới có trong libstagefright.
Tuy nhiên, đáng lo ngại hơn vì Android là mã nguồn mở, nên ngay khi Google tung ra bản vá lỗi, tin tặc đồng thời cũng cập nhật để đẩy các mã độc lên bản AOSP mới nhất. Thêm nữa, hệ điều hành này phân mảnh lớn nên Google phải phát hành bản vá lỗi từng đợt thông qua các nhà sản xuất phần cứng. Như vậy, chỉ khoảng một nửa người dùng sẽ được nhận bản sửa chữa.
Nếu không được vá kịp thời, các thiết bị Android sẽ dễ bị tấn công bởi những phần mềm ẩn trong file MP3 hoặc MP4. Lỗ hổng Stagefright 2.0 được kích hoạt khi các file âm thanh MP3, MP4 hoặc các tập tin video được phát bởi các phần mềm trong Android. File có thể được tải về từ các trang web hoặc email lừa đảo nên tin tặc dễ dàng cài cắm phần mềm ẩn.
Google cho biết sẽ khắc phụ lỗi Stagefright 2.0 trong bản cập nhật vá lỗi tháng này. Người dùng cài đặt Android bằng tay thông qua ASOP và chủ thiết bị Nexus có thể nhận bạn vá từ 5/10. Số còn lại phải đợi các nhà sản xuất phần cứng của mình cập nhật.