Một công ty bị cáo buộc khai thác lỗ hổng Android để cài phần mềm gián điệp

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
95
756 bài viết
Một công ty bị cáo buộc khai thác lỗ hổng Android để cài phần mềm gián điệp
WhiteHat Team
Lỗ hổng bảo mật nghiêm trọng CVE-2024-53104 trên hệ điều hành Android vừa được công bố cùng với mã khai thác (PoC). Lỗ hổng này được cho là nằm trong một chuỗi tấn công zero-day do Cellebrite - công ty pháp y số đến từ Israel phát triển nhằm bẻ khóa thiết bị và cài đặt phần mềm gián điệp trên điện thoại.

1745305063937.png

Chi tiết về lỗ hổng Android CVE-2024-53104

Lỗ hổng CVE-2024-53104 được phát hiện thông qua cuộc điều tra chung của Phòng Thí nghiệm An ninh của Tổ chức Ân xá Quốc tế (Amnesty International) và Nhóm Phân tích Mối đe dọa (TAG) của Google. Đây là một lỗ hổng leo thang đặc quyền có mức độ nghiêm trọng cao, nằm trong trình điều khiển USB Video Class (UVC) của kernel Android.

Nguyên nhân lỗ hổng xuất phát từ lỗi xử lý khung hình không xác định trong hàm uvc_parse_format. Việc tính sai kích thước bộ đệm cho phép kẻ tấn công thực hiện ghi dữ liệu vượt giới hạn (out-of-bounds write), từ đó có thể thực thi mã độc hoặc gây ra tình trạng từ chối dịch vụ (DoS) trên thiết bị Android.

Chuỗi khai thác của Cellebrite: Kết hợp bộ 3 lỗ hổng

Theo phân tích của Google TAG, CVE-2024-53104 là một phần trong chuỗi tấn công khai thác 3 lỗ hổng zero-day, bao gồm:
  • CVE-2024-53104 - Lỗi UVC trong kernelAndroid (leo thang đặc quyền)
  • CVE-2024-53197 - Lỗi trong trình điều khiển âm thanh USB ALSA
  • CVE-2024-50302 - Lỗ hổng liên quan đến thiết bị USB HID
Cả 3 lỗ hổng đều tồn tại trong thành phần USB của kernel Linux mà Android sử dụng, và đã được Google ghi nhận là đang bị khai thác có mục tiêu, với phạm vi hạn chế trong bản tin bảo mật Android phát hành tháng 2/2025.

Lo ngại về quyền riêng tư

Cellebrite là một công ty chuyên cung cấp các công cụ phục vụ phân tích pháp y số, trong đó có khả năng mở khóa thiết bị di động, thường được các cơ quan thực thi pháp luật trên thế giới sử dụng. Trong một báo cáo gần đây, các nhà nghiên cứu đã ghi nhận việc một chuỗi khai thác bảo mật có liên quan đến các lỗ hổng Android được sử dụng trên thiết bị của một cá nhân hoạt động xã hội, làm dấy lên các thảo luận trong cộng đồng về ranh giới giữa ứng dụng công nghệ trong điều tra và quyền riêng tư cá nhân.

Bên cạnh đó, chuyên gia bảo mật Zhuowei Zhang đã công bố mã khai thác (PoC) cho lỗ hổng CVE-2024-53104 trên GitHub, qua đó xác nhận khả năng khai thác thực tế của lỗ hổng và kêu gọi cộng đồng an ninh mạng nâng cao cảnh giác.

Khuyến cáo

Google đã phát hành bản vá cho CVE-2024-53104 trong bản cập nhật bảo mật Android tháng 2/2025. Người dùng Android được khuyến cáo cập nhật thiết bị ngay lập tức để tránh bị khai thác.

Đồng thời, các nhà sản xuất thiết bị và nhà cung cấp hệ điều hành Android cần nhanh chóng tích hợp và phát hành bản vá cho người dùng cuối nhằm ngăn chặn nguy cơ bị tấn công trong thực tế.

Theo Security Online
 
Chỉnh sửa lần cuối:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • SQL Injection - Đừng để một lỗ hổng cũ trở thành mối nguy mới
  • Một trong các lỗ hổng nghiêm trọng tại mySCADA myPRO chạm ngưỡng 10 điểm
  • An ninh mạng 2024: Một năm không thể “thư giãn”
  • Docker cảnh báo lỗ hổng ảnh hưởng nghiêm trọng đến một số phiên bản của Docker Engine
  • Google khắc phục một lỗi zero-day khác của Chrome
  • Phát hiện thêm một zero-day mới trong WinRAR
    • Thẻ
    android cellebrite cve-2024-53104 lỗ hổng android phần mềm gián điệp
    Bên trên