-
09/04/2020
-
118
-
1.236 bài viết
Hàng tỷ thiết bị di động Android có nguy cơ bị chiếm quyền từ lỗ hổng zero‑click
Google vừa phát đi cảnh báo an ninh nghiêm trọng cho các thiết bị Android về một lỗ hổng zero-click trong thành phần cốt lõi của hệ thống, được xác định là CVE-2025-48593. Lỗi này cho phép kẻ tấn công thực thi mã độc từ xa mà không cần bất kỳ tương tác nào từ người dùng. Bản tin Bảo mật Android tháng 11/2025 cho biết lỗ hổng ảnh hưởng tới nhiều phiên bản của Android Open Source Project (AOSP), minh chứng cho những rủi ro liên tục trong hệ điều hành di động.
Vì điện thoại thông minh lưu trữ dữ liệu nhạy cảm ở quy mô lớn, từ thông tin ngân hàng đến tin nhắn cá nhân, lỗ hổng này trở nên đặc biệt nguy hiểm và có thể đặt hàng tỷ người dùng trên toàn cầu vào rủi ro. Do không cần sự tham gia của nạn nhân, kẻ tấn công có thể lợi dụng lỗi bằng các gói mạng tinh vi hoặc thông qua ứng dụng độc hại phân phối ngoài kho chính thức, dẫn tới nguy cơ đánh cắp dữ liệu, triển khai phần mềm tống tiền hoặc biến thiết bị thành công cụ tấn công trong mạng botnet.
Google xếp mức độ nghiêm trọng là “critical” vì lỗ hổng cho phép thực thi mã ngay trong tiến trình System. Trong trường hợp khai thác nâng quyền thành công, thiết bị có thể bị kiểm soát gần như hoàn toàn, tạo điều kiện thực hiện các tấn công từ xa mà người dùng khó phát hiện. Lỗi này được báo nội bộ qua Android bug ID A-374746961 và đã được vá trên các phiên bản AOSP từ 13 đến 16.
CVE-2025-48593 bắt nguồn từ việc xử lý không đúng các tiến trình ở cấp hệ thống, cho phép chèn mã tùy ý trong các thao tác thường nhật như khởi chạy ứng dụng hoặc đồng bộ nền. Các nhà nghiên cứu lưu ý rằng nguyên nhân gốc rễ hiện vẫn được giữ kín nhằm hạn chế lạm dụng và từ mô tả kỹ thuật, sự cố phù hợp với những lỗi Android trước đây trong đó sự hỏng bộ nhớ đã tạo điều kiện cho việc leo thang quyền. Việc không công bố chi tiết sâu hơn giúp giảm rủi ro khai thác hàng loạt, đồng thời khiến cộng đồng bảo mật và nhà sản xuất phải dựa vào bản vá và kiểm tra nguồn gốc lỗi để xử lý triệt để.
Các thiết bị chạy Android 10 trở lên đã đủ điều kiện nhận bản cập nhật bảo mật, trong khi những thiết bị cũ hơn vẫn có nguy cơ bị khai thác nếu bản vá chưa được triển khai kịp thời từ nhà sản xuất. Bên cạnh CVE-2025-48593, bản tin cũng nhấn mạnh CVE-2025-48581, một lỗ hổng leo thang đặc quyền (EoP) mức cao trong cùng thành phần System. Lỗi này cho phép ứng dụng độc hại truy cập trái phép các tính năng nhạy cảm, mặc dù cần một bước xâm nhập ban đầu, nhưng nếu bị khai thác thành công, nó có thể mở rộng quyền kiểm soát và gây nguy cơ đáng kể cho dữ liệu và chức năng của thiết bị.
Để bảo vệ thiết bị, người dùng nên ngay lập tức kiểm tra và cập nhật hệ thống qua Settings > System > System Update, ưu tiên áp dụng bản vá an ninh ngày 1/11/2025, giải quyết triệt để các vấn đề này trên các thiết bị được hỗ trợ. Các nhà sản xuất như Samsung, Pixel và những hãng khác cần triển khai bản vá kịp thời, bởi bất kỳ chậm trễ nào cũng có thể khiến hàng tỷ thiết bị dễ bị tấn công.
Bản tin ra mắt trong bối cảnh các mối đe dọa di động gia tăng, bao gồm phần mềm gián điệp do nhà nước tài trợ nhắm vào các nhà hoạt động. Mặc dù chưa có khai thác thực tế nào được ghi nhận, nhưng bản chất zero-click của CVE-2025-48593 làm tăng nguy cơ với các mục tiêu cấp cao. Hệ thống cập nhật mô-đun qua Google Play giúp giảm rủi ro, nhưng tình trạng phân mảnh vẫn là thách thức lớn. Các chuyên gia khuyến nghị bật tính năng tự động cập nhật và tránh cài đặt ứng dụng không tin cậy để bảo vệ an toàn trong môi trường số ngày càng khắc nghiệt.
Vì điện thoại thông minh lưu trữ dữ liệu nhạy cảm ở quy mô lớn, từ thông tin ngân hàng đến tin nhắn cá nhân, lỗ hổng này trở nên đặc biệt nguy hiểm và có thể đặt hàng tỷ người dùng trên toàn cầu vào rủi ro. Do không cần sự tham gia của nạn nhân, kẻ tấn công có thể lợi dụng lỗi bằng các gói mạng tinh vi hoặc thông qua ứng dụng độc hại phân phối ngoài kho chính thức, dẫn tới nguy cơ đánh cắp dữ liệu, triển khai phần mềm tống tiền hoặc biến thiết bị thành công cụ tấn công trong mạng botnet.
Google xếp mức độ nghiêm trọng là “critical” vì lỗ hổng cho phép thực thi mã ngay trong tiến trình System. Trong trường hợp khai thác nâng quyền thành công, thiết bị có thể bị kiểm soát gần như hoàn toàn, tạo điều kiện thực hiện các tấn công từ xa mà người dùng khó phát hiện. Lỗi này được báo nội bộ qua Android bug ID A-374746961 và đã được vá trên các phiên bản AOSP từ 13 đến 16.
CVE-2025-48593 bắt nguồn từ việc xử lý không đúng các tiến trình ở cấp hệ thống, cho phép chèn mã tùy ý trong các thao tác thường nhật như khởi chạy ứng dụng hoặc đồng bộ nền. Các nhà nghiên cứu lưu ý rằng nguyên nhân gốc rễ hiện vẫn được giữ kín nhằm hạn chế lạm dụng và từ mô tả kỹ thuật, sự cố phù hợp với những lỗi Android trước đây trong đó sự hỏng bộ nhớ đã tạo điều kiện cho việc leo thang quyền. Việc không công bố chi tiết sâu hơn giúp giảm rủi ro khai thác hàng loạt, đồng thời khiến cộng đồng bảo mật và nhà sản xuất phải dựa vào bản vá và kiểm tra nguồn gốc lỗi để xử lý triệt để.
Các thiết bị chạy Android 10 trở lên đã đủ điều kiện nhận bản cập nhật bảo mật, trong khi những thiết bị cũ hơn vẫn có nguy cơ bị khai thác nếu bản vá chưa được triển khai kịp thời từ nhà sản xuất. Bên cạnh CVE-2025-48593, bản tin cũng nhấn mạnh CVE-2025-48581, một lỗ hổng leo thang đặc quyền (EoP) mức cao trong cùng thành phần System. Lỗi này cho phép ứng dụng độc hại truy cập trái phép các tính năng nhạy cảm, mặc dù cần một bước xâm nhập ban đầu, nhưng nếu bị khai thác thành công, nó có thể mở rộng quyền kiểm soát và gây nguy cơ đáng kể cho dữ liệu và chức năng của thiết bị.
Để bảo vệ thiết bị, người dùng nên ngay lập tức kiểm tra và cập nhật hệ thống qua Settings > System > System Update, ưu tiên áp dụng bản vá an ninh ngày 1/11/2025, giải quyết triệt để các vấn đề này trên các thiết bị được hỗ trợ. Các nhà sản xuất như Samsung, Pixel và những hãng khác cần triển khai bản vá kịp thời, bởi bất kỳ chậm trễ nào cũng có thể khiến hàng tỷ thiết bị dễ bị tấn công.
Bản tin ra mắt trong bối cảnh các mối đe dọa di động gia tăng, bao gồm phần mềm gián điệp do nhà nước tài trợ nhắm vào các nhà hoạt động. Mặc dù chưa có khai thác thực tế nào được ghi nhận, nhưng bản chất zero-click của CVE-2025-48593 làm tăng nguy cơ với các mục tiêu cấp cao. Hệ thống cập nhật mô-đun qua Google Play giúp giảm rủi ro, nhưng tình trạng phân mảnh vẫn là thách thức lớn. Các chuyên gia khuyến nghị bật tính năng tự động cập nhật và tránh cài đặt ứng dụng không tin cậy để bảo vệ an toàn trong môi trường số ngày càng khắc nghiệt.
Theo Cyber Security News
Chỉnh sửa lần cuối: