-
09/04/2020
-
94
-
685 bài viết
Phần mềm gián điệp vượt qua màn hình khóa Android khi khai thác lỗ hổng zero-day
Một công ty công nghệ từ Israel có vẻ đang gây chú ý với công nghệ gián điệp tân tiến, cho phép vượt qua màn hình khóa Android thông qua việc khai thác lỗ hổng zero-day chưa được tiết lộ. Theo báo cáo mới nhất, công ty C này (viết tắt) đã cung cấp các lỗ hổng này cho khách hàng, trong đó có chính quyền Serbia, nhằm thực hiện các cuộc tấn công vào thiết bị Android.
Theo chuyên gia WhiteHat, đây là một lỗ hổng nghiêm trọng vì nó cho phép truy cập thiết bị ngay cả khi đã khóa. Tuy nhiên, khai thác yêu cầu truy cập vật lý, giảm nguy cơ tấn công từ xa. Google và cộng đồng mã nguồn mở đang khẩn trương khắc phục, nhưng nguy cơ vẫn còn đối với những thiết bị chưa cập nhật bản vá.
Vào tháng 12/2024, Serbia đã mua và triển khai phần mềm gián điệp từ Cellebrite và NSO Group. Những công cụ này cho phép hacker vượt qua màn hình khóa Android, chiếm quyền điều khiển thiết bị và trích xuất dữ liệu cá nhân.
Google đã nhanh chóng phản ứng bằng cách vá một trong những lỗ hổng zero-day Android mà công ty C lợi dụng trong bản cập nhật bảo mật Android mới nhất, mã định danh CVE-2024-53104. Hai lỗ hổng khác (CVE-2024-53197 và CVE-2024-50302) đã được vá trong nhân Linux (Linux Kernel), nhưng vẫn chưa tích hợp vào Dự án Mã nguồn Mở Android (AOSP).
Đáng chú ý, lỗ hổng CVE-2024-53104 ảnh hưởng trực tiếp đến trình điều khiển USB class của Linux Kernel. Điều này có nghĩa là không chỉ Android, mà nhiều hệ điều hành dựa trên Linux cũng có nguy cơ bị tấn công.
Để khai thác lỗ hổng này, kẻ tấn công cần có quyền truy cập vật lý vào thiết bị Android. Một khi sở hữu thiết bị, họ có thể triển khai phần mềm gián điệp bằng cách:
Theo Security Online
Theo chuyên gia WhiteHat, đây là một lỗ hổng nghiêm trọng vì nó cho phép truy cập thiết bị ngay cả khi đã khóa. Tuy nhiên, khai thác yêu cầu truy cập vật lý, giảm nguy cơ tấn công từ xa. Google và cộng đồng mã nguồn mở đang khẩn trương khắc phục, nhưng nguy cơ vẫn còn đối với những thiết bị chưa cập nhật bản vá.
Vào tháng 12/2024, Serbia đã mua và triển khai phần mềm gián điệp từ Cellebrite và NSO Group. Những công cụ này cho phép hacker vượt qua màn hình khóa Android, chiếm quyền điều khiển thiết bị và trích xuất dữ liệu cá nhân.
Google đã nhanh chóng phản ứng bằng cách vá một trong những lỗ hổng zero-day Android mà công ty C lợi dụng trong bản cập nhật bảo mật Android mới nhất, mã định danh CVE-2024-53104. Hai lỗ hổng khác (CVE-2024-53197 và CVE-2024-50302) đã được vá trong nhân Linux (Linux Kernel), nhưng vẫn chưa tích hợp vào Dự án Mã nguồn Mở Android (AOSP).
Đáng chú ý, lỗ hổng CVE-2024-53104 ảnh hưởng trực tiếp đến trình điều khiển USB class của Linux Kernel. Điều này có nghĩa là không chỉ Android, mà nhiều hệ điều hành dựa trên Linux cũng có nguy cơ bị tấn công.
Để khai thác lỗ hổng này, kẻ tấn công cần có quyền truy cập vật lý vào thiết bị Android. Một khi sở hữu thiết bị, họ có thể triển khai phần mềm gián điệp bằng cách:
- Kết nối cổng USB của thiết bị Android với các thiết bị ngoại vi chuyên dụng.
- Lợi dụng lỗ hổng để rò rỉ bộ nhớ kernel và chỉnh sửa dữ liệu hệ thống.
- Cấp quyền truy cập cao hơn, cho phép cài đặt phần mềm gián điệp ngầm trên thiết bị.
- Thu thập dữ liệu cá nhân.
- Theo dõi vị trí thời gian thực.
- Ghi âm, chụp ảnh hoặc quay video bí mật.
- Cung cấp quyền điều khiển từ xa cho bên thứ ba.
- Cập nhật bảo mật Android ngay khi có phiên bản mới.
- Tránh kết nối điện thoại với các thiết bị USB không rõ nguồn gốc.
- Sử dụng mật khẩu mạnh kết hợp xác thực hai yếu tố.
- Bật chế độ Developer Mode và hạn chế kết nối USB Debugging.
Theo Security Online
Chỉnh sửa lần cuối: