WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
950 triệu thiết bị Android chưa được bảo vệ trước Stagefright dù Google đã tung bản vá
Gần một tỷ người dùng thiết bị Android vẫn bị ảnh hưởng bởi Stagefright dù Google đã tung ra bản vá chính thức cho lỗ hổng này.
Stagefright là lỗ hổng được chuyên gia an ninh Joshua Drake của phòng nghiên cứu Zimperium công bố hôm 27/7 vừa qua và làm ảnh hưởng tới hơn 95% thiết bị Android.
Tại hội thảo Black Hat 2015 các nhà nghiên cứu của Exodus Intelligence đã chỉ rõ cách thức kẻ tấn công sử dụng một tin nhắn độc hại để chiếm quyền kiểm soát điện thoại và truy cập dữ liệu quan trọng như tin nhắn văn bản và tin nhắn ảnh trong thiết bị của nạn nhân.
Google, Samsung và LG đã tung ra bản vá lỗi và hứa sẽ cập nhật các bản vá an ninh cho thiết bị Android hàng tháng.
Tuy nhiên, chuyên gia an ninh Jordan Gruskovniak của Exodus cho biết mã bốn dòng trong bản vá của Google không đủ để giải quyết hết vấn đề này.
Exodus cho biết đã tìm thấy sự khác biệt trong việc bản vá xử lý giá trị 32bit và 64bit và người dùng thiết bị Android vẫn bị ảnh hưởng bởi tấn công qua lỗ hổng này.
Để minh họa, Jordan Gruskovniak đã tạo ra một tập tin MP4 độc hại có thể crash thiết bị Android Nexus 5 bằng một phương thức giống với lỗ hổng Stagefright.
Exodus đã thông báo cho Google về vấn đề này ngày 7/8, hai ngày sau hội thảo Black Hat nhưng không nhận được phản hồi nào từ Google liên quan đến phát hành bản vá cập nhật.
Đại diện của Google xác nhận phát hiện này và cho biết công ty đã gửi bản vá an ninh thứ hai cho đối tác để bảo vệ người dùng. Riêng Nexus 4, 5, 6, 7, 9, 10 và Nexus Player sẽ có bản vá trong cập nhật an ninh hàng tháng vào tháng 9.
Stagefright là lỗ hổng được chuyên gia an ninh Joshua Drake của phòng nghiên cứu Zimperium công bố hôm 27/7 vừa qua và làm ảnh hưởng tới hơn 95% thiết bị Android.
Tại hội thảo Black Hat 2015 các nhà nghiên cứu của Exodus Intelligence đã chỉ rõ cách thức kẻ tấn công sử dụng một tin nhắn độc hại để chiếm quyền kiểm soát điện thoại và truy cập dữ liệu quan trọng như tin nhắn văn bản và tin nhắn ảnh trong thiết bị của nạn nhân.
Google, Samsung và LG đã tung ra bản vá lỗi và hứa sẽ cập nhật các bản vá an ninh cho thiết bị Android hàng tháng.
Tuy nhiên, chuyên gia an ninh Jordan Gruskovniak của Exodus cho biết mã bốn dòng trong bản vá của Google không đủ để giải quyết hết vấn đề này.
Exodus cho biết đã tìm thấy sự khác biệt trong việc bản vá xử lý giá trị 32bit và 64bit và người dùng thiết bị Android vẫn bị ảnh hưởng bởi tấn công qua lỗ hổng này.
Để minh họa, Jordan Gruskovniak đã tạo ra một tập tin MP4 độc hại có thể crash thiết bị Android Nexus 5 bằng một phương thức giống với lỗ hổng Stagefright.
Exodus đã thông báo cho Google về vấn đề này ngày 7/8, hai ngày sau hội thảo Black Hat nhưng không nhận được phản hồi nào từ Google liên quan đến phát hành bản vá cập nhật.
Đại diện của Google xác nhận phát hiện này và cho biết công ty đã gửi bản vá an ninh thứ hai cho đối tác để bảo vệ người dùng. Riêng Nexus 4, 5, 6, 7, 9, 10 và Nexus Player sẽ có bản vá trong cập nhật an ninh hàng tháng vào tháng 9.
Nguồn: v3.co.uk
Chỉnh sửa lần cuối bởi người điều hành: