Thứ 2, ngày 9 tháng 12 năm 2019
“Cửa hậu” Baidu đe dọa 100 triệu người dùng Android

TTO - Một bộ công cụ phát triển phần mềm (SDK) của Baidu (cỗ máy tìm kiếm của Trung Quốc, tương tự Googe) chứa lỗ hổng bảo mật khiến khoảng 100 triệu người dùng Android có nguy cơ bị tấn công từ xa.
![]() |
100 triệu người dùng Android có nguy cơ bị tấn công - Ảnh: The Hacker News |
Các chuyên gia nghiên cứu bảo mật của Công ty TrendMicro vừa phát hiện một lỗ hổng có tên Whomhole trong bộ SDK Moplus của Baidu.
Lỗ hổng này cho phép kẻ tấn công có thể tạo ra một kết nối không an toàn và không xác thực trên thiết bị. Kết nối này hoạt động ngầm nên người dùng không thể nhận biết được.
Từ kết nối này, kẻ tấn công có thể từ xa ra lệnh cho điện thoại Android thực hiện: gửi tin nhắn SMS, gọi điện, lấy thông tin chi tiết về điện thoại, tạo thêm liên lạc mới, lấy danh sách ứng dụng hiện có; tải các tập tin xuống thiết bị, tải tập tin từ thiết bị lên mạng, cài đặt ứng dụng âm thầm, lấy thông tin vị trí điện thoại, và nhiều chức năng khác… giống như chính chủ nhân của thiết bị đang thực hiện.
Bộ SDK Moplus này đã được tích hợp vào hơn 14.000 ứng dụng cho hệ điều hành Android, trong đó có khoảng 4.000 ứng dụng của Baidu.
Tuy nhiên các chuyên gia ước tính có khoảng 100 triệu người dùng đang sử dụng hoặc đã cài đặt các ứng dụng trên. Đồng nghĩa với việc 100 triệu người dùng này đang có nguy cơ bị tấn công bất kỳ lúc nào.
Các chuyên gia bảo mật đánh giá lỗ hổng của Moplus nghiêm trọng hơn nhiều so với lỗ hổng từng được phát hiện hồi đầu năm trong thư viện Stagefright của Android.
Cụ thể, để khai thác lỗ hổng Stagefright, kẻ tấn công phải gửi tin nhắn đa phương tiện độc hại đến số điện thoại của người dùng để lừa họ truy cập vào các đường dẫn độc hại. Trong khi với Moplus, kẻ tấn công chỉ đơn giản là quét toàn bộ mạng điện thoại để tìm địa chỉ IP có cổng kết nối của Moplus.
Sau khi nhận được cảnh báo từ các chuyên gia an ninh mạng, Baidu đã đưa ra một phiên bản mới của bộ SDK Moplus với một số câu lệnh đã được gỡ bỏ.
Tuy nhiên, các chuyên gia cho biết một số tính năng trên SDK vẫn có thể bị tội phạm mạng lợi dụng để tấn công người dùng. Baidu sau đó hứa “vấn đề” sẽ được gỡ bỏ trong phiên bản tiếp theo trên các ứng dụng của hãng.
-
TTO - Ngay sau khi giành chiến thắng trước đội Thái Lan trong trận chung kết bóng đá nữ SEA Games 30, bảo vệ thành công tấm huy chương vàng, đội tuyển bóng đá nữ Việt Nam đã nhận được nhiều khen thưởng, động viên.
-
TTO - Sau khi đội tuyển nữ Thái Lan thất bại 0-1 trước Việt Nam ở chung kết SEA Games 30, các CĐV Thái Lan lại khóc như mưa và tuyên bố: "Mắc cỡ quá, đừng đá với họ nữa".
-
TTO - Phút 92, Tuyết Dung đá phạt bên cánh trái, Dangda đánh đầu phá bóng trượt tạo cơ hội cho Hải Yến đánh đầu cận thành, mở tỉ số trận đấu.
-
TTO - Thua tuyển nữ Việt Nam 0-1 trong trận chung kết bóng đá nữ SEA Games 2019, báo chí Thái Lan tỏ ra vô cùng thất vọng.
-
TTO - Tác phẩm nghệ thuật thể hiện bằng một trái chuối được dán băng keo dính lên tường đã bị một người vặt ăn ngay tại triển lãm. Đáng nói là "tác phẩm trái chuối" đó được định giá đến... 120.000 USD.
Hiện chưa có bình luận nào, hãy là người đầu tiên bình luận
Xem thêm bình luận